概述

名词定义

资源所有者(Resource Owner):通常是用户,拥有受保护资源的权限。

客户端(Client):希望访问资源服务器上的资源的应用程序,可能是网站、移动应用或其他服务。

授权服务器(Authorization Server):负责验证资源所有者的身份并发放访问令牌,通常与资源服务器是分开的。

资源服务器(Resource Server):存储受保护资源的服务器,负责提供资源并验证访问令牌。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

对资源服务器的理解

场景一:微信公众号的网页授权机制,用户在微信公众号中访问第三方网页,可以通过微信网页授权机制,来获取用户基本信息,进而实现业务逻辑。Resource Owner 就是微信用户;Client 就是第三方网页;Authorization server 就是微信的认证服务器,负责发放访问令牌;Resource server 就是微信的服务器,负责提供微信用户信息。

在场景一中,如果第三方网页是由 Vue + Spring 前后端分离架构实现,那么客户端就是指 Vue 前端和 Spring 后端这个整体框架。

在场景一中,Resource server 包括第三方网页的资源服务器吗?

个人是偏向于不包括的,因为第三方网页从微信的授权服务器拿到的 token ,是用于访问微信的资源服务器;而第三方网页一般是有实现自己的身份认证框架的,然后根据自己的身份认证框架创建新的 token ,用于访问自己的资源服务器。所以,对于资源服务器的理解,个人更偏向于是能验证(微信)授权服务器发放的令牌并提供资源的才是 OAuth2 中资源服务器这一角色。

或者可以这样理解,划分为两个授权服务器和两个资源服务器,一个是微信的授权服务器和微信的资源服务器;一个是第三方网页的授权服务器和第三方网页的资源服务器。

场景二:一个 Vue + Spring 前后端分离的项目,使用 OAuth2 的密码模式搭建该项目的身份认证框架。

在场景二中,客户端就是指 Vue 前端;授权服务器是 Spring 后端搭建的 Oauth2 身份认证服务;资源服务器就是 Spring 后端搭建的业务相关服务。

OAuth2流程

图片来源:https://www.youtube.com/watch?app=desktop&v=ZV5yTm4pT8g

假设 Client 第三方应用需要调用 Google 服务提供商的服务。

  1. 用户打开客户端以后,客户端要求用户给予授权。(授予访问 Google 服务的权限)

  2. 用户同意给予客户端授权。

    Google 服务提供商需要考虑使用什么模式使用户给予客户端授权。授权码模式是最严密的授权模式,用户授权过程中不会暴露账号密码给第三方应用;密码模式,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向”服务商提供商”索要授权。

  3. 客户端使用上一步获得的授权,向认证服务器申请令牌。

  4. 认证服务器对客户端进行认证以后,确认无误,同意发放令牌。

  5. 客户端使用令牌,向资源服务器申请获取资源。

  6. 资源服务器确认令牌无误,同意向客户端开放资源。

    资源服务器验证令牌有效性方式?

授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与”服务提供商”的认证服务器进行互动。

图片来源:https://portswigger.net/web-security/oauth/grant-types#authorization-code-grant-type

它的步骤如下:

  1. 用户访问客户端,后者将前者导向认证服务器。

  2. 用户选择是否给予客户端授权。

  3. 假设用户给予授权,认证服务器将用户导向客户端事先指定的”重定向URI”(redirection URI),同时附上一个授权码。

  4. 客户端收到授权码,附上早先的”重定向URI”,向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

  5. 认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

  6. 客户端收到令牌后,可以通过携带令牌请求资源服务器获取资源。

  7. 资源服务器验证来自客户端的访问令牌,并决定是否允许客户端访问资源。

结合微信公众号网页授权机制分析步骤:

步骤 1 中,用户访问客户端,客户端将用户导向微信公众号的授权页面:

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

步骤 3 中,用户给予授权,微信认证服务器回应客户端事先指定的”重定向URI”(前后端分离的客户端,重定向 URI 一般是前端地址),同时附上一个授权码 code,页面将跳转至 redirect_uri/?code=CODE&state=STATE。

步骤 4 中,客户端通过授权码 code 向微信认证服务器换取网页授权 access_token (一般在客户端的后台服务上完成,对用户不可见):

https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

步骤 5 中,微信认证服务器返回 JSON 数据包:

1
2
3
4
5
6
7
8
9
{
  "access_token":"ACCESS_TOKEN",
  "expires_in":7200,
  "refresh_token":"REFRESH_TOKEN",
  "openid":"OPENID",
  "scope":"SCOPE",
  "is_snapshotuser": 1,
  "unionid": "UNIONID"
}

步骤 6 中,客户端可以通过 access_token 和 openid 向微信资源服务器拉取用户信息了(一般在客户端的后台服务上完成,对用户不可见):

https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

密码模式

密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向”服务商提供商”索要授权。

在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。

它的步骤如下:

  1. 用户向客户端提供用户名和密码。

  2. 客户端将用户名和密码发给认证服务器,向后者请求令牌。

  3. 认证服务器确认无误后,向客户端提供访问令牌。

一个个人或公司搭建的 Vue + Spring 前后端分离的项目,可以使用 OAuth2 的密码模式搭建身份认证框架:

  1. 用户向 Vue 前端提供用户名和密码。
  2. Vue 前端将用户名和密码发给 Spring Oauth 搭建的认证服务器,请求令牌。
  3. Spring Oauth 认证服务器验证身份后,向 Vue 前端提供访问令牌。
  4. Vue 前端可以携带令牌,向资源服务器请求资源。(资源服务器需要提供资源并验证访问令牌)

参考

理解OAuth 2.0:https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

微信公众号网页授权:https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/Wechat_webpage_authorization.html