使用OAuth2.0协议首先要了解以下几个关键信息:
- 使用OAuth2.0必须基于HTTPS,使用传统HTTP是无法保障安全性的;
- 授权模式选择并确认,这会直接影响前后端的交互和代码实现;
- OAuth2.0前端要实现:授权令牌(accessToken)存储、校验、刷新。
1. 协议参与者
- Client:第三方应用客户端;
- RS (Resource Server):资源源服务器;
- AS (Authorization Server):授权服务器;
- RO (Resource Owner):资源所有者。
2. 授权码模式
对应支持不同类型的第三方应用OAuth给出了多种模式,这里着重介绍其中使用最广泛也是最核心的模式,同时也是微信开发平台使用的模式:授权码模式(Authorization Code Grant)
通常开发移动应用最终目的都是对外发布,也就是说服务器需要提供给不同用户,在不同地区/网络/设备上使用。
那么这样一来移动应用实际使用场景中,开发者对其是不可控的,也就是说不带有授权的任何请求都可以被理解为是一次攻击行为,或者说无法验证Client身份任何一个请求都可以视为是无效的,那么这个时候使用授权码模式无疑是最为安全可靠的。
那么问题来了,如果一家公司同时拥有多个移动应用是否可以沿用OAuth?答案肯定是可以的,只是在使用过程中需要像微信openSDK一样加上对应的AppId和AppSecret参数用于区分(AppId和AppSecret是通过平台授予的)
2.1 授权码模式介绍
在OAuth2.0的官方RFC文档中,对授权码模式的大致实现流程介绍如下:
Authorization Code Grant.png
(A) Client向AS发起授权请求并提供身份验证;
(B) AS对Client身份进行验证,若有限则返回accessToken和refreshToken;
(C) Client使用accessToken向RS发起资源请求;
(D) RS验证accessToken,若accessToken有效则为该请求提供服务并响应;
(E) 重复步骤(C)和(D),直到accessToken过期。若Client知道accessToken已过期,它将跳到步骤(G);否则,将向RS发出另一个资源请求;
(F) 若accessToken失效,AS会返回accessToken失效错误;
(G) Client通过向AS进行身份验证,并提供refreshToken来请求新的accessToken;
(H) AS对Client提供的身份进行验证,并验证refreshToken,如果有效,则发出新的accessToken
2.2 授权码Authorization Code
对于本地原生App应用来说,授权码这个环节是否可以跳过?
这个要取决于获取access_Token的方式渠道,OAuth2.0的文档对Native App实现授权是通过浏览器来实现的:
OAuth 2.0 for Native Apps.png
这里会引发一个问题:为什么AS不直接将Access Token通过重定向方式返回客户端App,却要先返回授权码Authorization Code?
主要原因就是由于这里沿用的PC端的授权模式,然而浏览器的redirect_uri是一个不安全信道,不适合传递access_Token这类私密数据,RO用户代理本身也是不可信赖的,协议本身的目的就是保证客户端是唯一可以获取access_Token的主体。
3. 前端需要做什么
首先这个流程需要前后端同事配合完成,不同的公司和产品可能对数据的保密要求不尽相同,所以在是否真的需要使用OAuth2以及如何实现之前,良好的沟通以及对考虑今后功能的扩展兼容是必须的;其次OAuth 2.0协议侧重于简化Client端开发人员的工作,仅需调用几个简单的API接口即可实现授权令牌(accessToken)的获取、校验、刷新。
以微信开发平台提供第三方登录功能为例,文档提供了三个基础API作用分别为:
微信授权登录接口作用域.png
由此可以看出微信的工程师在提供功能时就考虑到了上述所有的情况:
- 获取Authorization Code需要配合 scope(授权作用域)+ state(状态标识),有效防止CSRF攻击;
-
sns/oauth2/access_token
通过Authorization Code向AS请求accessToken和refreshToken,AS需要通过appId+appSecret等参数确认其唯一性,通常还会返回当前accessToken的有效期; -
sns/oauth2/refresh_token
由于accessToken有效期较短,通过该接口对其续期或刷新; -
sns/auth
允许Client验证当前accessToken有效性; -
sns/userinfo
Client使用已获得的accessToken向AS请求用户个人信息,或向RS发出资源请求。
与授权码模式流程图中相同,RS在收到请求后会先向AS验证accessToken,确认有效后才响应并为该请求提供服务
我画了一张相对简单的流程图供参考:
OAuth2.0 for app前端.jpg
接下来就是代码集成,请参考Code
参考文章:
OAuth2.0
OAuth2.0协议原理详解
微信开放文档
网友评论