基于 OAuth 安全协议的 Java 应用编程1

小灰灰 2021-05-12 11:51 433阅读 0赞

原文地址：http://www.ibm.com/developerworks/cn/java/j-lo-oauth/index.html

参考博客：http://www.cnblogs.com/wangkewei/archive/2011/01/14/1935858.html

**OAuth 简介**  
OAuth 是由 Blaine Cook、Chris Messina、Larry Halff 及 David Recordon 共同发起的，目的在于为 API 访问授权提供一个安全、开放的标准。  
  
基于 OAuth 认证授权具有以下特点：

*  安全。OAuth 与别的授权方式不同之处在于：OAuth 的授权不会使消费方（Consumer）触及到用户的帐号信息（如用户名与密码），也是是说，消费方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。
 *  开放。任何消费方都可以使用 OAuth 认证服务，任何服务提供方 (Service Provider) 都可以实现自身的 OAuth 认证服务。
 *  简单。不管是消费方还是服务提供方，都很容易于理解与使用。
 *  OAuth 的解决方案如下图所示。

![Center][]  
  
如图 1 所示 OAuth 解决方案中用户、消费方及其服务提供方之间的三角关系：当用户需要 Consumer 为其提供某种服务时，该服务涉及到需要从服务提供方那里获取该用户的保护资源。OAuth 保证：只有在用户显式授权的情况下（步骤 4），消费方才可以获取该用户的资源，并用来服务于该用户。  
  
从宏观层次来看，OAuth 按以下方式工作：

1.  消费方与不同的服务提供方建立了关系。
2.  消费方共享一个密码短语或者是公钥给服务提供方，服务提供方使用该公钥来确认消费方的身份。
3.  消费方根据服务提供方将用户重定向到登录页面。
4.  该用户登录后告诉服务提供方该消费方访问他的保护资源是没问题的

在了解 OAuth 认证流程之前，我们先来了解一下 OAuth 协议的一些基本术语定义：

*  Consumer Key：消费方对于服务提供方的身份唯一标识。
 *  Consumer Secret：用来确认消费方对于 Consumer Key 的拥有关系。
 *  Request Token：获得用户授权的请求令牌，用于交换 Access Token。
 *  Access Token：用于获得用户在服务提供方的受保护资源。
 *  Token Secret：用来确认消费方对于令牌（Request Token 和 Access Token）的拥有关系。

OAuth 认证授权流程

1.  消费方向 OAuth 服务提供方请求未授权的 Request Token。
2.  OAuth 服务提供方在验证了消费方的合法请求后，向其颁发未经用户授权的 Request Token 及其相对应的 Token Secret。
3.  消费方使用得到的 Request Token，通过 URL 引导用户到服务提供方那里，这一步应该是浏览器的行为。接下来，用户可以通过输入在服务提供方的用户名 / 密码信息，授权该请求。一旦授权成功，转到下一步。
4.  服务提供方通过 URL 引导用户重新回到消费方那里，这一步也是浏览器的行为。
5.  在获得授权的 Request Token 后，消费方使用授权的 Request Token 从服务提供方那里换取 Access Token。
6.  OAuth 服务提供方同意消费方的请求，并向其颁发 Access Token 及其对应的 Token Secret。
7.  消费方使用上一步返回的 Access Token 访问用户授权的资源。

总的来讲，在 OAuth 的技术体系里，服务提供方需要提供如下基本的功能：

*  第 1、实现三个 Service endpoints，即：提供用于获取未授权的 Request Token 服务地址，获取用户授权的 Request Token 服务地址，以及使用授权的 Request Token 换取 Access Token 的服务地址。
 *  第 2、提供基于 Form 的用户认证，以便于用户可以登录服务提供方做出授权。
 *  第 3、授权的管理，比如用户可以在任何时候撤销已经做出的授权。

而对于消费方而言，需要如下的基本功能：

*  第 1、从服务提供方获取 Customer Key/Customer Secret。
 *  第 2、提供与服务提供方之间基于 HTTP 的通信机制，以换取相关的令牌。

**我们具体来看一个使用 OAuth 认证的例子**

在传统的网站应用中，如果您想在网站 A 导入网站 B 的联系人列表，需要在网站 A 输入您网站 B 的用户名、密码信息。例如，您登陆 Plaxo (https://www.plaxo.com )，一个联系人管理网站，当您想把 GMail 的联系人列表导入到 Plaxo，您需要输入您的 GMail 用户名 / 密码，如图 所示：

![Center 1][]

在这里，Plaxo 承诺不会保存您在 Gmail 的密码。

如果使用 OAuth 认证，情况是不同的，您不需要向网站 A（扮演 Consumer 角色）暴露您网站 B（扮演 Service Provider 角色）的用户名、密码信息。例如，您登录 http://lab.madgex.com/oauth-net/googlecontacts/default.aspx 网站， 如图所示：

![Center 2][]

点击“Get my Google Contacts”，浏览器将会重定向到 Google，引导您登录 Google，如图

![Center 3][]

登录成功后，将会看到图

![Center 4][]

在您登录 Google，点击“Grant access”，授权 lab.madgex.com 后，lab.madgex.com 就能获得您在 Google 的联系人列表。  
  
  
在上面的的例子中，网站 lab.madgex.com 扮演着 Consumer 的角色，而 Google 是 Service Provider，lab.madgex.com 使用基于 OAuth 的认证方式从 Google 获得联系人列表。

[Center]: /images/20210511/e30907a3d9e14f15ab216e96d4035589.png
[Center 1]: /images/20210511/22731e1ad04f449bab44ac0dec6e4136.png
[Center 2]: /images/20210511/ca6294d6b613432ca5cde662c267d190.png
[Center 3]: /images/20210511/bed4c7dc09444b53a09497032db8bc3b.png
[Center 4]: /images/20210511/5f9ab04034e44bd8af6d673b330b6c0f.png