【SpringSecurity】十四、OAuth2.0协议

拼搏现实的明天。 2024-04-23 15:51 49阅读 0赞

#### 文章目录 ####

*  1、OAuth2.0协议
 *  2、角色
 *  3、名词
 *  4、授权模式
 *  5、基本流程
 *  6、使用场景

## 1、OAuth2.0协议 ##

*  OAuth即开放授权，2.0即废止了复杂的OAuth1.0
 *  允许用户授权第三方应用访问他们存储在另外已有账户的系统上的信息，且不需要将用户名和密码提供给第三方应用

比如：用户A微信扫码登录网站B，即用户A授权网站B去微信服务器拿自己的部分信息，以免去在网站B重复输入信息注册的麻烦，当然，你的微信登录密码，网站B并不知道。OAuth2.0则是定义了完成这个过程的一个标准流程。

## 2、角色 ##

![在这里插入图片描述][a6ff7408235546b189d40e7849ac3261.png]

*  客户端：没用户信息资源，需要申请资源的那个第三方系统
 *  资源拥有者：用户自己
 *  认证授权服务器：对资源拥有者身份做认证，认证通过后给客户端发授权码
 *  资源服务器：存用户信息的服务器，客户端携带拿到的token请求类似getUserInfo的接口，获取用户信息

以获取用户信息资源为例，正常先想到的是：

![在这里插入图片描述][1348f52dd677478ca2b67ad93b727dd2.jpeg]

而如果不对客户端身份做检验，一旦出现恶意用户就有数据安全问题，因此需要一种机制保护用户数据：

![在这里插入图片描述][344c9f8d82674d33984c555db1225752.jpeg]

业界实践是提前给客户应用颁发一个**Access Token**，它表示客户应用被授权可以访问用户数据。就像酒店给你门卡，你才能进入房间。

![在这里插入图片描述][128a5033f9da4957a9f7d26d5985b3e3.jpeg]  
因此，需要一个角色来干颁发Access Token的活儿，这个角色即**授权服务器**

![在这里插入图片描述][3114486a259d4d75b85b1cffe7ae4d00.jpeg]  
![在这里插入图片描述][d7874e048df24aa98688069d8e8e0f0b.jpeg]

上面的流程中第一步是授权服务器生成Access Token，而在真实流程中，在颁发Token前先要征询用户同意。用户即资源拥有者，用户是自己数据的主人

![在这里插入图片描述][9e7bd95bf10e4dc29d7da12dda9c9449.jpeg]

OAuth 2.0协议就是标准化了Access Token的请求和响应部分。（协议就是一种大家约定好都遵守的规范）

## 3、名词 ##

> **clinet\_id，即客户端ID**

和客户端密钥client\_secret搭配使用，用来确认客户端身份，因为不是随便一个客户端系统都能请求认证服务器。客户端系统A没和我对接，也就没有客户端ID和密钥，它的请求过来直接在网关就拦截了

> **授权码**

用户的委派书，代表的是用户的意愿，比如用户愿意把微信昵称、头像信息给网站A，微信服务器你可以发给网站A了

> **access token，即访问令牌**

用户同意授权后，客户端系统拿到授权码，并携带授权码请求认证授权服务器，告诉它，用户同意我从你这儿拿信息。认证授权服务器校验无误后发放token给客户端系统，即拿授权码换取token。access token解析后代表时间范围和权限范围，即在多长的时间范围内允许客户端系统访问哪些资源。

> **refresh token，即刷新令牌**

access token有效时间太长，万一泄漏，隐患很大，有效时间太短，就又需要用户频繁授权，用户体验很差。由此，引入[refresh token][]。上面的授权码换token时，除了返回access token，还有一个refresh token，同样与客户端系统、用户关联在一起。

![在这里插入图片描述][079c3fa3ea2c4e94a259dd87200b5330.png]

刷新令牌时：

*  检测请求头里的app\_id和app\_secret是否在以对接的客户端系统之列
 *  检测refresh\_token的合法性
 *  检测refresh\_token的归属，是否是当前app\_id的

1）当access\_token未过期，且refresh\_token也未过期，就用refresh\_token刷新，可选：

*  access\_toekn不变，但过期时间更改，相当于给access\_token续期了
 *  新的access\_toekn
 *  access\_toekn不变，过期时间也不变（Spring Security）

2）当access\_token过期，refresh\_token未过期，则返回新的access\_token，且refresh\_token自身值以及过期时间不变。

3）当refresh\_token也过期了，就需要用户重新授权。（起始状态）

关于第三方客户端系统何时用refresh\_token来刷新令牌，可以写定时任务（授权码换token时，access\_token的过期时间也返回过来了），也可以等出现access\_token过期的返回结果时，再做刷新处理。

> **redirect\_uri，即回调地址**

发放授权码给客户端，是用302重定向到客户端请求里的redirect\_uri的方式实现的。如果redirect\_uri被篡改成一个恶意网站，则用户信息泄漏，如果redirect\_uri被篡改成认证服务器，则消耗认证服务器性能。基于此问题，OAuth2协议规定：**客户端注册自己的系统时，要配置回调地址（可一个、可多个）**，客户端系统请求上来时，检查redirect\_uri是否在注册的redirect\_uri集合之内，是，则发放授权码。且获取授权码和授权码换token传入的回调地址要一致。

> **scope，即授权范围**

描述了一组权限信息，比如获取基本资料（头像、昵称）。这些授权范围信息同时也要展示给资源所有者。

## 4、授权模式 ##

OAuth2.0的四种授权模式：

*  **授权码模式**：最常用

![在这里插入图片描述][c4ed5efbfd0c4d36b854900a5a74d324.png]

*  **密码模式**：即你高度信任当前应用，那你就告诉该应用你在三方系统的用户名和密码。该应用直接带着你的用户名密码去申请令牌。通常两个系统是同一个公司的产品时，才使用该模式。

![在这里插入图片描述][fcce74a1b14642e792070cb5d3ee4891.png]

![在这里插入图片描述][7b8cc893b1f4481892c11204f7e2550a.png]

*  **简化模式**：简化了授权码这个中间步骤，没有授权码换token这一步，授权服务器征得用户同意后直接放发令牌

![在这里插入图片描述][476ed616f5914aa38e3a01b16351deb6.png]

*  **客户端模式**：客户端想服务器发送自己的身份信息，请求获取令牌。比如拿着申请来的客户端Id和客户端密钥。这是系统级别的交互，如果把系统看出用户个体，那这个client\_id和secret就像应用在三方系统账户和密码。

http://localhost:8020/oauth/token?client_id=c1&client_secret=secret&grant_type=client_credentials

以下是四种授权类型的选择依据，图中的第一方还是第三方客户，第一方即两个系统属于同一家公司，第三方则不属于。

![在这里插入图片描述][6490e8c7ff3645daa8113ee315304e1f.png]

## 5、基本流程 ##

以在网站A进行微信扫码登录为例（授权码模式）：

![在这里插入图片描述][d558dc6cc88a4d26993615027a824513.png]  
![在这里插入图片描述][290f6436ecf14638b7b889042a9a6e11.png]

此时，系统A为对接的系统，即客户端，微信为资源服务器一方。系统A像完成支持微信扫码登录的功能，就得先去微信注册自己成为微信的客户端应用，获取到client\_id和secret。直白讲就是：不是什么阿猫阿狗都能访问授权服务器，不带客户端凭证和客户端密钥，你的请求过来直接都不鸟你，也就走不到询问用户意志这一步。客户端注册成功后，后续操作时序图：

![在这里插入图片描述][1cc827280e2541338ec9d6ad0641e788.png]

## 6、使用场景 ##

1）开放系统间的授权

三方登录，社交登录（Q、V）等，比如用户想登录A网站，A网站让用户授权第三方网站，获取到用户在第三方网站的身份信息后，完成登录。如码云支持github登录

![在这里插入图片描述][ad766615625c417bb76905495eb49296.png]

注意这里授权时，输入用户名和密码是在Github，而不是码云，因此不是密码模式，而是授权码模式。（本来就是不同公司的产品，一般不会走密码模式）。这里在三方系统输入用户名密码 与 微信扫码登录一个意思，不过是微信已有移动端登录成功了，不用重新输入用户名密码罢了。

![在这里插入图片描述][d3568933e9a8427b92b9f391ab19f95a.png]

![在这里插入图片描述][10cd955ab6064e21bf960b3001ac0d54.png]

2）微服务的安全

![在这里插入图片描述][adc91a4ecb38488aa1aa4b5d544d965b.png]

3）企业内部应用的认证授权

如：单点登录

[a6ff7408235546b189d40e7849ac3261.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/0457745b15da46919a00862668ab09b7.png
[1348f52dd677478ca2b67ad93b727dd2.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/d275eb82ece6401784e9ec45e1b36bac.jpeg
[344c9f8d82674d33984c555db1225752.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/a87a79a000ad4e448752c71108aa4c4e.jpeg
[128a5033f9da4957a9f7d26d5985b3e3.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/f5a4cf423fa2421cb8ef0f94d94b3fa6.jpeg
[3114486a259d4d75b85b1cffe7ae4d00.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/cbdc481a593342958a1ecd7ccf05ea01.jpeg
[d7874e048df24aa98688069d8e8e0f0b.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/8856eac639044f0f8dd2e2c42434a267.jpeg
[9e7bd95bf10e4dc29d7da12dda9c9449.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/aa2445f11a93456587872e169f7c567f.jpeg
[refresh token]: https://blog.csdn.net/u013905744/article/details/111246789
[079c3fa3ea2c4e94a259dd87200b5330.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/c76832f273cd4551abe5e1b4000d655d.png
[c4ed5efbfd0c4d36b854900a5a74d324.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/cc649e9c94924e33a75cabcac4b7468c.png
[fcce74a1b14642e792070cb5d3ee4891.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/89c989c991de4f039e3f53d2d84352f3.png
[7b8cc893b1f4481892c11204f7e2550a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/3ff1e71ce5704bdd9fb2188d7cbf7374.png
[476ed616f5914aa38e3a01b16351deb6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/67aa9d0f218b4bf2942d1837db2ef4f1.png
[6490e8c7ff3645daa8113ee315304e1f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/aef99e49fb0f4078b70db93411449e70.png
[d558dc6cc88a4d26993615027a824513.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/beb8bbb71b4f46f3ab217471d5d9f2cc.png
[290f6436ecf14638b7b889042a9a6e11.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/c04144d059ec46b3934f9c92fbacef31.png
[1cc827280e2541338ec9d6ad0641e788.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/708de744350d4221950792d5a2614189.png
[ad766615625c417bb76905495eb49296.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/c889f955c09f44559d38fb9f9904b088.png
[d3568933e9a8427b92b9f391ab19f95a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/1364874ac2ea4c1cb46105feb5026b58.png
[10cd955ab6064e21bf960b3001ac0d54.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/05df3d810d734c5994c2ca0ec002b91c.png
[adc91a4ecb38488aa1aa4b5d544d965b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/23/3dd1291a6c394a4d9430f6a202f99d82.png