微服务统一认证，OAuth2 的认证流程

随着微服务的兴起，OAuth2也火了起来，由于其自身的优势，俨然已成为微服务API服务接口安全防护的首选。

 

啥是 OAuth2

OAuth2（Open Authorization，开放授权）是OAuth的升级版本。OAuth 是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。

OAuth允许用户提供一个令牌给第三方网站，一个令牌对应一个特定的第三方网站，同时该令牌只能在特定的时间内访问特定的资源。

OAuth2 核心概念

OAuth 2.0 主要有4类角色：

• resource owner：资源所有者，指终端的“用户”（user）
• resource server：资源服务器，即服务提供商存放受保护资源。访问这些资源，需要获得访问令牌（access token）。
• client：客户端，代表向受保护资源进行资源请求的第三方应用程序。
• authorization server： 授权服务器， 在验证资源所有者并获得授权成功后，将发放访问令牌给客户端。

 

授权的四种模式

• 授权码模式（authorization code）
• 简化模式（implicit）
• 密码模式（resource owner password credentials）
• 客户端模式（client credentials）

OAuth2 认证流程

 

1. 用户在第三方应用上点击登录，应用向认证服务器发送请求，说有用户希望进行授权操作，同时说明自己是谁、用户授权完成后的回调url。
2. 认证服务器展示给用户自己的授权界面。
3. 用户进行授权操作，认证服务器验证成功后，生成一个授权编码code，并跳转到第三方的回调url。
4. 第三方应用拿到code后，连同自己在平台上的身份信息（ID密码）发送给认证服务器，再一次进行验证请求，说明自己的身份正确，并且用户也已经授权我了，来换取访问用户资源的权限。
5. 认证服务器对请求信息进行验证，如果没问题，就生成访问资源服务器的令牌access_token，交给第三方应用。
6. 第三方应用使用access_token向资源服务器请求资源。
7. 资源服务器验证access_token成功后返回响应资源。