OAuth 2.0 原理与流程详解
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。
本文例子为 在多个不同域名的网站下,使用同一套用户中心体系,点击登录跳转到已搭建 OAuth2.0 的服务端后,用户授权登录。
流程:
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的”重定向URI”(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的”重定向URI”,向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access_token)和更新令牌(refresh_token)。
(F)客户端用 access_token 向认证服务器获取用户信息
步骤详解:
搭建 OAuth2.0 的服务端 简称 i.com
步骤A
用户在 a.com 网站上点击登录,网站带上参数跳转到 i.com
参数:
response_type:表示授权类型,必选项
client_id:表示客户端的ID,必选项
redirect_uri:表示重定向URI,可选项
scope:表示申请的权限范围,可选项
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
例如:
GET
http://i.com/authorize?response_type=login&client_id= {%client_id%} &redirect_uri=http%3A%2F%2Fa%2Ecom
HTTP/1.1
Host: a.com步骤B
i.com 根据 client_id 去数据库 client 表查找是否存在 client_id,存在则根据cookie或者其它方式验证用户是否在 i.com 为登录状态。
有登录则出现授权界面让用户确认是否授权,没有则进入正常用户帐号密码登录流程,登录成功后则出现授权界面让用户确认是否授权。
步骤C
当用户确认授权后,i.com 根据 client_id 搜出来数据 $data,生成 $code 和 $redirect_uri 和 $expires,等信息并保存到 code 表中,code有效期为60秒内,
最后跳转回 client 表中根据 client_id 搜索出来的 $data['redirect_uri']。
$code = md5($client_id.$user_id.date("YmdHis",time()));
$redirect_uri = $data['redirect_uri'].'?code='.$code;
$expires = time()+60;
//保存数据到 code 表中
...
$url = $redirect_uri.'&client_id='$client_id.'&referer_url='.$_GET['redirect_uri'];
header("Location:".$url);步骤D
i.com 收到 $_GET['code'] 和 $_GET['client_id'] 后,
POST http://i.com/token HTTP/1.1
Host: a.com
code= {%code%} &client_id= {%client_id%} &client_secret= {%client_secret%}步骤E
服务器 i.com 接收到 code、client_id、client_secret 后,验证 code 表,验证通过后生成 $access_token 和 $refresh_token 和 $expires, 保存到 token 表中后,发送的HTTP回复到 a.com,包含以下参数:
$access_token = md5($client_id.$user_id.date("YmdHis",time()));
$refresh_token = md5($client_id.$client_secret.date("Ymd",time()));
$expires = time()+3600; //access_token有效期为1小时HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token" : "example",
"token_type" : "example",
"expires_in" : 3600,
"refresh_token" : "example"
}access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
步骤F
a.com 用收到的 access_token 向 i.com 获取用户信息并在 a.com 下存cookie或其它方式进行登录。
附上数据表
CREATE TABLE `oauth_client` (
`id` bigint(20) NOT NULL auto_increment,
`client_id` varchar(32) NOT NULL,
`client_secret` varchar(32) NOT NULL,
`redirect_uri` varchar(200) NOT NULL,
`create_time` int(20) default NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
CREATE TABLE `oauth_code` (
`id` bigint(20) NOT NULL auto_increment,
`client_id` varchar(32) NOT NULL,
`user_id` varchar(32) NOT NULL,
`code` varchar(40) NOT NULL,
`redirect_uri` varchar(200) NOT NULL,
`expires` int(11) NOT NULL,
`scope` varchar(250) default NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
CREATE TABLE `oauth_token` (
`id` bigint(20) NOT NULL auto_increment,
`client_id` varchar(32) NOT NULL,
`user_id` varchar(32) NOT NULL,
`access_token` varchar(40) NOT NULL,
`refresh_token` varchar(40) NOT NULL,
`expires` int(11) NOT NULL,
`scope` varchar(200) default NULL,
PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;**(文章写的估计外人都看不懂了,没关系,我是写给我自己看的。。。请原谅~)
** 配合用户中心同步机制可实现多网站同步登录(详情请用力戳我),方可实现一次登录,多个域名网站同步登录。