首先要说下第三方登录的意义:用户是越来越懒,而各个平台又都要用户注册自己平台的账号,更可恶的是各个平台的账号规范还不统一。结果导致用户注册完之后,在下一次登录的时候完全不记得账号和密码。所以,使用第三方登录,可以解决这一痛病。既能解决用户的麻烦,还能为网站增加用户量。
OAuth
说到第三方登录,就不得不提OAuth(Open Authorization)协议--开放式授权。
百度百科定义:OAuth协议为用户资源的授权提供一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的账号信息(如用户名与密码), 即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。
一、应用场景
为了理解OAuth的适用场合,让我举一个假设的例子:
假设有一个"云冲印"的网站,可以将用户存储在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己存储在Google上的照片"。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样才能获得用户的授权呢?
传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",这样后者就可以读取用户的照片了。但是这样的做法会有以下几个严重的缺点。
- 1"云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
- 2"云冲印"拥有了获取用户存储在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
- 3用户只要修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效
- 4只要一个第三方应用程序被破解,就会导致用户密码泄露,以及所有被密码保护的数据泄露。
OAuth协议就是为了解决上面这些问题而诞生的。
二、OAuth的思路
在此先定义一些名词:
Third-party application: 第三方应用程序(客户端)
HTTP service: HTTP服务提供商,本文中简称"服务提供商",即Google.
Resource Owner: 资源所有者,本文中又称"用户"。
User Agent: 用户代理,本文中就是指浏览器。
Authorization server: 认证服务器,即服务提供商专门用来处理认证的服务器。
Resource server: 资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。
核心思想:
OAuth在"客户端"与"服务提供商"之间,设置了一个授权层。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。"客户端"登录 授权层所用的令牌(token), 与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。"客户端"登录授权层以后,"服务提供商"依据令牌的权限范围和有效期,向"客户端"开放用户存储的资料。
三、运行流程
(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。
简化模型后的例子:
四、客户端的授权模式
客户端必须得到用户的授权,才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。
- 1授权码模式(authorization code)
- 2简化模式
- 3密码模式
- 4客户端模式
五、授权码模式
授权码模式是功能最完整,流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。这也是微信,QQ等采用的模式。
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
接下来我们参照第三方登录QQ,来看下授权码模式中的三个重要步骤:
1 请求OAuth登录页:Request Token URL -未授权的令牌请求服务地址
即:XXX网请求QQ登录页面时使用的带有特定参数的URL
2 用户使用QQ或微信号等登录并授权
3 返回登录结果:User Authorization URL -用户授权的令牌请求服务地址
即:用户QQ登录授权之后需要请求一个带有特定参数的URL
