Web安全协议 — OpenID、OAuth

1. 认证与授权

无论是web端还是移动端，现在第三方应用账户登录已经成为了标配，任意打开个网站都可以看到，QQ/微信账号登录的字样。

使用第三方账户的登录的过程，既要限制用户身份只让有效注册用户才能登录，还要根据注册用户的不同身份来控制能浏览的内容，这就需要认证和授权。

认证(Authentication)和授权(Authorization)是两个容易被弄混的概念，尤其是只看英文。

认证意味着证实某个用户是他所声明的那个人；授权意味决定一个身份确定的用户能够访问那些资源。

由此可见，应用需要先认证用户身份，然后依据用户身份再授权，二者需要联合使用。

2. Web安全协议

统一身份认证与授权中三种最常见的 web安全协议是OpenID，OAuth和SAML。接下来我们通过举例来介绍这三种协议中常用的OpenId和OAuth协议。

2.1 OpenID

OpenID是一种开放的身份验证标准，由非营利性OpenID Foundation推广。互联网上有很多账户都是支持OpenlD比如谷歌、雅虎、PayPal等等。

用户要使用OpenlD就必须先在OpenID身份服务器(Identity Provider，IDP）获得OpenID账号(比如Google账户）。用户可以使用OpenlD账户来登录任何一个接受OpenID认证的服务应用(the relying party，RP，依赖方)。OpenID协议标准就是提供一个框架用来IDP和RP之间通信。

本质而言，用户的OpenID是一个为用户个人所拥有的特殊URL(比如study2016.openid.com)，所以有些网站甚至会提供选项让用户自己去填写OpenID。

OpenlD的最新版本是OpenID Connect。

3. OAuth2

很多的网站都是允许第三方登录的，例如网易云等等，例如：微信和QQ登录。这里假设使用QQ登录后，就会出现一个地址，大致如下：

https://graph.qq.com/oauth2.0/show?which=Login&display=p
c&client_id=100459398&response_type=code&redirect_uri=https%3A%2F%2Fstudy.163.com%2Fsns%2Fqq%2FoAuthcallDack.htm%3FoauthType%3Dlogin%26returnUr1o3DanKUCnMoLy9zdHVkeS4xNjMuY29tP2Zyb209c3R1ZHk%3D%26nrsstcw%3Dtalse%26nc%3Dtrue

https://graph.qq.com/oauth2.0/show?which=Login&display=pc&
client_id=100459398&
response_type=code&
redirect_uri=https%3A%2F%2Fstudy.163.com%2Fsns%2Fqq%2FoAuthcallbacK.ntmy%03FoauthType%3Dlogin%26returnUrl%3DaHROcHM6Ly9zdHVkeS4xNjMuY29tP2Zyb209c3R1Z
Hk%3D%26nrsstcw%3Dfalse%26nc%3Dtrue

code:代表服务器希望收到授权码;
client_id:注册应用时颁发的ID;
redirect_uri:指明当用户授权完成之后返回的地址;

OAuth2是一个委托协议，它可用让那些控制资源的人允许某个应用代表这些人，而不是假冒和模仿这些人，这个应用从资源的所有者哪里得到授权（(Authorization)和Access Token，随后就可以使用这个Access Token来访问资源。

客户端应用可以请求Access Token，使用Tooken就可以访问API资源了。在上述的例子中，是QQ给网易云课堂授权。

资源所有者(Resource Owner)，他拥有访问API资源的权限，并且他还可以委派权限(delegate）给其他应用来访问API。资源所有者通常是可以使用浏览器的人。

被保护的资源(Protected Resource) 就是资源所有者拥有权限去访问的组件，它可以是很多种形式的，但是WebApi的形式还是最常见的。

客户端(Client) 应用就是代表资源所有者访问被保护资源的一个软件，注意它既不是浏览器，也不是给你钱让你开发软件的人，在OAuth2里面，它是指被保护的API资源的消费者。

授权服务器（AS）是被受保护的资源所信任的，它可以发行具有特定目的的安全凭据给客户端应用，这个凭据就叫做OAuth的Access Token。

下面的几个图用于理解上边的内容

如果觉得有收获就点个赞吧，更多知识，请点击关注查看我的主页信息哦~

Web安全协议 — OpenID、OAuth

1. 认证与授权

2. Web安全协议

2.1 OpenID

3. OAuth2

你可能感兴趣的:(Web安全协议 — OpenID、OAuth)