OAuth认证原理与第三方登录

1.背景

以下例子引用知乎“OAuth 授权的工作原理是怎样的？足够安全吗？”中李天放的回答

假如你在某个网站A上使用微博进行第三方登录，那么你可以想象新浪微博就是你的家。偶尔你会想让一些人（第三方应用）去你的家里帮你做一些事，或取点东西。你可以复制一把钥匙（用户名和密码）给他们，但这里有三个问题： 

（1）别人拿了钥匙后可以去所有的房间 

（2）别人拿到你的钥匙后也许会不小心丢到，甚至故意送到它人手里。这样你都不知到谁有你家钥匙。 

（3）过一段时间你也许会想要回自己的钥匙，但别人不还怎么办？  

OAuth 是高级钥匙:

（1）你可以配置不同权限的钥匙。有些只能进大厅（读取你的微博流）。有些钥匙可以进储藏柜（读取你的相片)

（2）钥匙上带着指纹验证的（指纹 = appkey)。 收到钥匙的人只能自己用，不能转让

（3）你可以远程废除之前发出的钥匙

总而言之，就是OAuth正是为解决上述问题而诞生。

2.名词介绍

（1） Third-party application：第三方应用程序，就是1中我们所说网站A（客户端）

（2）HTTP service：HTTP服务提供商，本文中简称"服务提供商"，即1中我们所说的微博。

（3）Resource Owner：资源所有者，本文中又称"用户"（user）。

（4）User Agent：用户代理，本文中就是指浏览器。

（5）Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。

（6）Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

3.认证原理

基本思路：

（A）客户端向用户请求授权

（B）客户端获得授权

（C）客户端带着用户的授权去请求认证服务器

（D）客户端从认证服务器获得认证token

（E）客户端使用token去请求资源服务器

（F）资源服务器对客户端开放资源

当前的OAuth2.0有三种认证方式：

（1）授权码模式

（A）用户访问客户端，用户被客户端重定向到认证服务器

（B）用户决定是否授权

（C）用户授权后客户端会获得一个授权码

（D）客户端使用授权码与一个重定向的uri再次请求认证服务器

（E）认证服务器给客户端一个access token和refresh token

这样，客户端就可以凭借接入token去资源服务器获取资源，然后根据重定向uri回到指定页面

A中首次请求认证服务器时客户端申请认证的URI，包含以下参数：

• response_type：表示授权类型，必选项，此处的值固定为"code"
• client_id：表示客户端的ID，必选项
• redirect_uri：表示重定向URI，可选项
• scope：表示申请的权限范围，可选项
• state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1

C中认证服务器回应客户端的URI，包含以下参数：

• code：表示授权码，必选项。该码的有效期应该很短，通常设为10分钟，客户端只能使用该码一次，否则会被授权服务器拒绝。该码与客户端ID和重定向URI，是一一对应关系。
• state：如果客户端的请求中包含这个参数，认证服务器的回应也必须一模一样包含这个参数。

Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz

D中客户端向认证服务器申请令牌的HTTP请求，包含以下参数：

• grant_type：表示使用的授权模式，必选项，此处的值固定为"authorization_code"。
• code：表示上一步获得的授权码，必选项。
• redirect_uri：表示重定向URI，必选项，且必须与A步骤中的该参数值保持一致。
• client_id：表示客户端ID，必选项。

Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E中认证服务器发送的HTTP回复，包含以下参数：

• access_token：表示访问令牌，必选项。
• token_type：表示令牌类型，该值大小写不敏感，必选项，可以是bearer类型或mac类型。
• expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。
• refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选项。
• scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。

Pragma: no-cache

   { "access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}

（2）简化模式

（A）客户端将用户重定向到认证服务器

（B）用户决定是否授权

（C）用户授权，则认证服务器重定向客户端一开始指定的uri，并带上一个hash值的token

（D）客户端请求资源服务器，并不带上一步的hash值token

（E）资源服务返回一个网页代码可以提取hash值的原token

（F）浏览器提取token

（G）把token发给客户端

A中客户端发出的HTTP请求，包含以下参数：

• response_type：表示授权类型，此处的值固定为"token"，必选项。
• client_id：表示客户端的ID，必选项。
• redirect_uri：表示重定向的URI，可选项。
• scope：表示权限范围，可选项。
• state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1

C中认证服务器回应客户端的URI，包含以下参数：

• access_token：表示访问令牌，必选项。
• token_type：表示令牌类型，该值大小写不敏感，必选项。
• expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。
• scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。
• state：如果客户端的请求中包含这个参数，认证服务器的回应也必须一模一样包含这个参数。

Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600

（3）密码模式

用户向客户端提供自己的用户名和密码。客户端使用这些信息，向"服务商提供商"索要授权。

在这种模式中，用户必须把自己的密码给客户端，但是客户端不得储存密码。通常只有用户

对客户端十分信任才会使用。

（A）用户提供用户名和密码

（B）客户端将其发给认证服务器认证

（C）认证服务器认证通过后向客户端分发token

B中客户端发出的HTTP请求，包含以下参数：

• grant_type：表示授权类型，此处的值固定为"password"，必选项。
• username：表示用户名，必选项。
• password：表示用户的密码，必选项。
• scope：表示权限范围，可选项

Content-Type: application/x-www-form-urlencoded 

grant_type=password&username=johndoe&password=A3ddj3w

C中认证服务器向客户端发送访问令牌

Pragma: no-cache

   {"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}

4.第三方登录demo(参照http://blog.csdn.net/woshihaiyong168/article/details/54862123)

实现流程：

  所需条件：

    1、一个线上的域名

    2、新浪微博开发者（自己去注册）

 创建应用：

将下载的txt文件扔进线下服务器的根目录下，点击验证

将下图中的的代码复制到一个html页面中