OAuth2四种认证模式概念理解

OAuth2中四种认证模式概念理解说明

这两天在写单点登录的软著材料，作为一个前端开发，之前关注的一直都是前端实现登录的逻辑，但是既然写软著，那只能作为一个整体来理解，而这一块大部分的实现还是在后端（个人观点），所以抽出两天时间看了下后端的代码，正好把相关的概念理解整理下：
这里只是概念上的理解，没有代码实践，后面有空最好还要调试代码，实践出真知嘛，要是有理解不对的地方欢迎指正。

整体流程

流程图

整体流程说明

1. 用户打开客户端，客户端要求向资源所有者（即用户）给予授权；
2. 用户同意授权；
3. 客户端得知用户同意授权后，向授权服务器获取授权；
4. 授权服务器给予客户端授权，并将授权码（Access Token）即为令牌下发给客户端；
5. 客户端携带授权码去请求资源服务器；
6. 资源服务器将受限的资源开放给客户端。

大多数情况下，认证服务器和资源服务者在一台机器上，但是逻辑上属于两个概念，很多系统将其作为单独的微服务和其他资源服务区分开来。

OAuth2协议规定的4种授权类型

授权许可是表示客户用来获取访问令牌的资源所有者授权的凭证。此规范协议规定了4种授权类型：

• authorization code（授权码模式）
• implicit（简化模式）
• resource owner password credentials（密码模式）
• client credentials（客户端模式）

授权码模式

流程图

授权码模式流程说明

1. 用户访问客户端，客户端通过用户代理向认证服务器请求授权码；
2. 用户同意授权；
3. 认证服务器通过用户代理返回授权码给客户端；
4. 客户端携带授权码向认证服务器请求访问令牌（AccessToken）；
5. 认证服务器返回访问令牌；
6. 客户端携带访问令牌向资源服务器请求资源；
7. 资源服务器返回资源。

简化模式

流程图

简化模式流程说明

1. 用户访问客户端，客户端通过用户代理向认证服务器请求授权码；
2. 用户同意授权；
3. 认证服务器返回一个重定向地址，该地址的url的Hash部分包含了令牌；
4. 用户代理向资源服务器发送请求，其中不带令牌信息；
5. 资源服务器返回一个网页，其中包含的脚本可以获取Hash中的令牌；
6. 用户代理执行脚本提取令牌；
7. 用户代理将令牌返回给客户端；
8. 客户端携带令牌向资源服务器请求资源；
9. 资源服务器返回资源。

密码模式

流程图

密码模式流程说明

1. 用户向客户端提供用户名密码；
2. 客户端将用户名和密码发给认证服务器请求令牌；
3. 认证服务器确认无误后，向客户端提供访问令牌；
4. 客户端携带令牌向资源服务器请求访问资源；
5. 资源服务器返回资源。

客户端模式

流程图

客户端模式流程说明

1. 客户端向认证服务器进行身份认证，并要求一个访问令牌；
2. 认证服务器确认无误后，向客户端提供访问令牌；
3. 客户端携带令牌向资源服务器请求访问资源；
4. 资源服务器返回资源。

参考资料

简书介绍
实战OAuth2博客
OAuth2介绍
博客介绍
博客介绍
ntianwei/p/9531091.html)
博客介绍