OAuth2四种授权模式

授权码模式

授权码模式（Authorization Code） 是功能最完整、流程最严密、最安全并且使用最广泛的一种OAuth2授权模式。同时也是最复杂的一种授权模式，它的特点就是通过客户端的后台服务器，与服务提供商的认证服务器进行互动。其具体的授权流程如图所示（图片来自 RFC6749文档 RFC 6749: The OAuth 2.0 Authorization Framework)

• Third-party application：第三方应用程序，简称"客户端"（client）；

• Resource Owner：资源所有者，简称"用户"（user）；

• User Agent：用户代理，是指浏览器；

• Authorization Server：认证服务器，即服务端专门用来处理认证的服务器；

• Resource Server：资源服务器，即服务端存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

 

具体流程如下:

• （A）用户访问第三方应用，第三方应用通过浏览器导向认证服务器。

• （B）用户选择是否给予客户端授权。

• （C）假设用户给予授权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个授权码。

• （D）客户端收到授权码，附上早先的"重定向URI"，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。

• （E）认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。

核心参数:

https://wx.com/oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=http://www.baidu.com&scope=read

字段	描述
client_id	授权服务器注册应用后的唯一标识
response_type	必须 固定值 在授权码中必须为 code
redirect_uri	必须 通过客户端注册的重定向URL
scope	必须 令牌可以访问资源权限 read 只读 all 读写
state	可选 存在原样返回客户端 用来防止 CSRF跨站攻击

简化模式

简化模式（implicit grant type）不通过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，跳过了"授权码"这个步骤，因此得名。所有步骤在浏览器中完成，令牌对访问者是可见的，且客户端不需要认证。其具体的授权流程如图所示（图片来自 RFC6749文档 RFC 6749: The OAuth 2.0 Authorization Framework)

具体步骤如下:

• （A）第三方应用将用户导向认证服务器。

• （B）用户决定是否给于客户端授权。

• （C）假设用户给予授权，认证服务器将用户导向客户端指定的"重定向URI"，并在URI的Hash部分包含了访问令牌。#token

• （D）浏览器向资源服务器发出请求，其中不包括上一步收到的Hash值。

• （E）资源服务器返回一个网页，其中包含的代码可以获取Hash值中的令牌。

• （F）浏览器执行上一步获得的脚本，提取出令牌。

• （G）浏览器将令牌发给客户端。

核心参数:

https://wx.com/oauth/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=http://www.baidu.com&scope=read

字段	描述
client_id	授权服务器注册应用后的唯一标识
response_type	必须 固定值 在授权码中必须为 token
redirect_uri	必须 通过客户端注册的重定向URL
scope	必须 令牌可以访问资源权限
state	可选 存在原样返回客户端 用来防止 CSRF跨站攻击

密码模式

密码模式（Resource Owner Password Credentials Grant）中，用户向客户端提供自己的用户名和密码。客户端使用这些信息，向"服务商提供商"索要授权。在这种模式中，用户必须把自己的密码给客户端，但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下，比如客户端是操作系统的一部分，或者由一个相同公司出品。而认证服务器只有在其他授权模式无法执行的情况下，才能考虑使用这种模式。其具体的授权流程如图所示（图片来自 RFC6749文档 RFC 6749: The OAuth 2.0 Authorization Framework)

 

具体步骤如下:

• （A）用户向客户端提供用户名和密码。

• （B）客户端将用户名和密码发给认证服务器，向后者请求令牌。

• （C）认证服务器确认无误后，向客户端提供访问令牌。

核心参数:

https://wx.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID

客户端模式

客户端模式（Client Credentials Grant）指客户端以自己的名义，而不是以用户的名义，向"服务提供商"进行认证。严格地说，客户端模式并不属于OAuth框架所要解决的问题。在这种模式中，用户直接向客户端注册，客户端以自己的名义要求"服务提供商"提供服务，其实不存在授权问题。

 

https://wx.com/token?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET