OAuth 2.0 基础建模

 

这几天一直在做OAuth 2.0的压力测试，虽然过程中遇到些问题，但是总体来讲还算顺利。开始构建OAuth 模型也一直担心压力的问题。不过就目前压力测试来看还不错。顺便把OAuth 模型写点出来。

 

 

 

A.用户从淘宝的网站连接到客户的应用网站，应用网站判断用户没有访问令牌，则要求用户获取访问令牌。
B.用户被重定向授权服务器，授权服务器引导用户登陆和授权。并给用户生成一个授权码。
C.用户获取授权码后被重定向应用网站
D.应用网站判断用户有授权码，则应用网站用此授权码请求授权服务器获取访问令牌。
E.授权服务器返回访问令牌。
F.应用网站持此访问令牌请求用户资源信息。
G.Tip服务器返回用户所授权的资源信息。
H.应用网站显示用户资源信息。 

 

开放平台实现了上述的授权模型。在技术上总体采用过滤器的方式，一次请求，层层过滤。保证每次请求的决定安全。

 

授权模型的总体软件架构如下图所示。

 

 

 

 

 

 

 

各个过滤器的作用域如下：

 

Filter	作用域	备注
客户应用过滤器	针对每次请求，校验客户的合法性。
用户登陆过滤器	针对每次请求，校验用户的登陆状态。
用户允许授权	针对授权请求，校验用户是同意授权还是拒绝授权。
用户授权过滤	针对授权请求，校验是否通过了用户授权。
生成授权码	针对授权请求，生成授权码。
生成访问令牌	针对令牌请求，颁发令牌。

 

 

Oauth授权模型基本建立起来了，还有许多的后续工作还待完善跟进，譬如授权的Scope,监控等。