OAuth 2.0

什么是oAuth

oAuth 协议为用户资源提供了一个安全的,开放而有简易的标准,与以往的授权方式不同,oAuth的授权不会使第三方触及用户的账号信息(如用户名和密码),因此oAuth是安全的.oAuth是Open Authorization

oAuth2协议中角色介绍

1)resource owner:资源拥有者  即用户

2) resource server:资源服务器  即存储用户数据的服务器,一般对外都以restful API的形式暴露用户数据,client 使用access token访问resource server的用户数据

3)client :客户端 即第三方应用

4)authorization server :授权服务器  用来鉴定第三方应用的合法性,并对用户登录  是否授权进行响应,向第三方应用颁发用户token 或者告知授权失败

 

 

oAuth 2使用场景介绍

目前,oAuth 2协议使用场景最多的是给第三方应用获取用户的信息,具体的业务流程如下

①: 在浏览器中,用户点击第三方应用按钮,由第三方应用发起请求,向平台发起授权请求

② : 平台接收第三方的应用请求后,浏览器跳转用户登录界面,请求用户进行登录

③:  用户在平台登录界面输入用户名和密码进行登录

④:  平台判断用户合法性,校验失败,在浏览器提示错误信息

⑤:  平台判断用户是否对第三方应用进行授权(不需要授权的情况有两种,a平台信任第三方应用,如公司内部,无需授权,默认给与用户数据  b,该用户之前已经给该应用受过权限,并且仍在有效期内)

⑥: 如需授权,平台跳转到授权界面,告知用户授予哪个第三方哪些数据

⑦: 用户授权后,将用户授权码回调第三方url

⑧:  第三方在获取用户授权码后,带着授权码访问平台的鉴权接口,请求用户的token

⑨:  平台在收到请求后,校验授权码的真实性,并返回用户token

⑩: 第三方应用使用用户token向平台请求用户数据接口.接口平台判断token的真实性,并向第三方返回用户数据

oAuth 2 核心功能说明

1  应用注册

　　应用注册后,oAuth 2会下发应用的app_id 和app_secret,用来标记应用的唯一性,并且这两个参数将贯穿整个oAuth协议,用以对应用合法性进行校验,同时提供redirect_url,用来和平台进行异步交互,获取用户的令牌或者错误信息

2  授权/鉴权中心

• 对用户的用户名和密码进行授权
• 对第三方的app_id和app_secret进行鉴权
• 展示授权界面,并对第三应用的授权进行响应
• 对用户的授权码以及用户token的真实性进行鉴权

3 token 管理

• 创建token 刷新token
• 查询token详细信息
• 校验token时效性

oAuth2体系结构

SSO介绍

什么是SSO

百科:SSO,英文名称Single Sign On 单点登录.SSO是在多个子应用系统中,用户只需登录一次就可以访问多有互相信任的应用系统,简单来说,SSO的出现的目的在于解决同一产品体系中,多应用共享用户的session,sso通过将用户登录信息映射到浏览器的cookie中,解决其他应用免登陆获取用户session的问题