OAuth2.0的四种授权方式

OAuth2.0的四种授权方式

文章目录

  • OAuth2.0的四种授权方式
    • 哪四种模式?
    • 授权码模式
    • 隐藏式
    • 密码式
    • 凭证式
    • 更新令牌的方式

哪四种模式?

OAuth 2.0 规定了四种获得令牌的流程。

模式名称 对应英文
授权码 authorization-code
隐藏式 implicit
密码式 password
客户端凭证 client credentials

:不论采取哪一种授权方式,都需要客户端在资源服务器上进行备案(即建立系统间的互信关系)。客户端在资源服务器上备份过后,资源服务器会为客户端颁发客户端id(client ID)和密钥(client secret)。以上四种方式都需要客户端持有正确的client id和secret。

授权码模式

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。

这种方式是最常用的流程,安全性也最高。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。前后端分离的设计,可以有效避免令牌泄漏。授权码模式的访问流程如下图所示。

OAuth2.0的四种授权方式_第1张图片

隐藏式

面向纯前端应用。这个方式没有授权码这个中间步骤。

密码式

允许客户端或者第三方应用,直接使用用户的账号密码进行令牌的获取。适用场景:该应用或客户端是被用户高度信任的。

凭证式

适用于没有前端的命令行应用,即在命令行下请求令牌。是否可以理解成纯后端请求?

客户端直接凭client ID和密钥(client secret)向资源服务器请求令牌。

:这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。

更新令牌的方式

通常我们会给令牌设置一个有效期。令牌的有效期到了,如果让用户重新走一遍上面的流程,再申请一个新的令牌,很可能体验不好,而且也没有必要。OAuth 2.0 允许用户自动更新令牌。

具体方法是,B 网站颁发令牌的时候,一次性颁发两个令牌,一个用于获取数据,另一个用于获取新的令牌(refresh token 字段)。令牌到期前,用户使用 refresh token 发一个请求,去更新令牌。

请求示例:

https://b.com/oauth/token?
grant_type=refresh_token&
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET&
refresh_token=REFRESH_TOKEN

资源服务器会返回一个access_token(用于访问业务数据)和refresh_token(专门用于更新令牌)

本文参考了阮一峰大佬的博客,原文请参阅:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

你可能感兴趣的:(java,Web)