OAuth 2.0协议原理

一.基本原理

OAuth： OAuth（开放授权）是一个开放标准，允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。

OAuth 2.0 主要有4类角色：
• resource owner：资源所有者，指终端的“用户”（即授权登录中资料信息的拥有者）
• resource server：资源服务器，即服务提供商存放受保护资源。访问这些资源，需要获得访问令牌（access token）。
• client：客户端，代表向受保护资源进行资源请求的第三方应用程序。
• authorization server： 授权服务器， 在验证资源所有者并获得授权成功后，将发放访问令牌给客户端。
认证流程如下：

• （A）用户打开客户端以后，客户端请求资源所有者（用户）的授权。
• （B）用户同意给予客户端授权。
• （C）客户端使用上一步获得的授权，向认证服务器申请访问令牌。
• （D）认证服务器对客户端进行认证以后，确认无误，同意发放访问令牌。
• （E）客户端使用访问令牌，向资源服务器申请获取资源。
• （F）资源服务器确认令牌无误，同意向客户端开放资源。

二. 授权模式

OAuth 2.0中最关键的步骤在于用户授权这一步。用户授权有四种模式：
• 授权码模式（authorization code）
• 授权码简化模式（implicit）
• 密码模式（resource owner password credentials）
• 客户端模式（client credentials）

不论哪种模式，都是为了从认证服务器获取Access Token，用来访问资源服务器。 而申请Access Token，需要提交相应信息。例如，client_ID(我是谁)，response_type或grant_typt(申请哪种模式)，scope(申请哪些权限，由授权服务器定义)，redirect_uri(申请结果跳转至哪儿)等。当然不同的模式，提交信息内容也不同。

三.QQ授权登录

QQ登录OAuth2.0：对于用户相关的OpenAPI（例如获取用户信息，动态同步，照片，日志，分享等），为了保护用户数据的安全和隐私，第三方移动应用访问用户数据前都需要显式的向用户征求授权。

QQ登录OAuth2.0采用OAuth2.0标准协议来进行用户身份验证和获取用户授权，其认证流程简单、安全。QQ授权登录采用授权码模式的简化模式。

在授权码模式中，Authorization Code和Access Token都由授权服务器生成和验证，而最终只用到Access Token，这让Authorization Code显得无足轻重。因此，授权码简化模式，去掉了Authorization Code的申请流程，从而通过User-Agent（Browser）直接申请Access Token。

QQ登录OAuth2.0总体处理流程如下：

Step1：接入申请，获取appid和apikey；
Step2：放置QQ登录按钮；
Step3：通过用户登录验证和授权，获取Access Token；
Step4：通过Access Token获取用户的OpenID；
Step5：调用OpenAPI，来请求访问或修改用户授权的资源。

调用OpenAPI访问数据时，接口如果涉及敏感数据（如wx.getUserInfo当中的 openId 和unionId ），接口的明文内容将不包含这些敏感数据。开发者如需要获取敏感数据，需要对接口返回的加密数据( encryptedData )进行对称解密。 解密算法如下：
1. 对称解密使用的算法为 AES-128-CBC，数据采用PKCS#7填充。
2. 对称解密的目标密文为 Base64_Decode(encryptedData)。
3. 对称解密秘钥 aeskey = Base64_Decode(session_key), aeskey 是16字节。
4. 对称解密算法初始向量 为Base64_Decode(iv)，其中iv由数据接口返回。

参考资料：
https://developers.weixin.qq.com/miniprogram/dev/api/signature.html#wxchecksessionobject
http://wiki.open.qq.com/wiki/mobile/OAuth2.0%E7%AE%80%E4%BB%8B