Oauth2.0文档笔记

Oauth

定义

OAuth通过授权层以及从资源所有者角色分离出客户端角色来解决这些问题。在OAuth中，客户端请求对受资源所有者控制且托管在资源服务器上的资源的访问权限，并授予一组不同于资源所有者所拥有的凭据。

座位使用资源的所有者的凭据访问受保护资源的替代，客户端访问获得一个访问令牌--一个代表特定作用域，生命周期以及其他访问权限属性的字符串。访问令牌由授权服务器在资源所有者认可的情况下给到第三方客户端。客户端使用访问令牌访问托管在资源服务器上的受保护资源。

角色

OAuth定义了四种角色:

• 资源所有者
  能够许可对手部怙资源的访问权限的实体。当资源的所有者是个人时，它被称为最终用户。
• 资源服务器
  托管受保护资源的服务器，能够接收和响应使用访问令牌对受保护资源的请求.
• 客户端
  使用资源所有者的授权代表资源所有者发起地受保护资源的请求的应用程序。
• 授权服务器
  成功验证资源所有者且获得授权后办法访问令牌给客户端的服务器。
  授权服务器可以和资源服务器是同一台服务器，也可以时分离的个体。一个授权服务器可以颁发被多个资源服务器接收的访问令牌。

授权许可

授权许可是一个代表资源所有者授权的凭据，客户端用它来获取访问的令牌。
四种访问许可类型:
1、授权码 2、隐式授权 3、资源所有者密码凭据 4、客户端凭据

访问令牌

访问令牌是一个代表客户端颁发的授权的字符串。该字符串对于客户端来说是不透明的。令牌代表了访问权限的由资源所有者许可并由资源服务器和授权服务器实施的具体范围和期限。

刷新令牌

刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端，用户在当前访问令牌失效或过期时，获取一个新的访问令牌，或者获取相等或更窄范围的额外的访问令牌。

客户端类型

• 机密客户端
• 公开客户端

Oauth角色名词定义

• Third-party application：第三方应用程序，本文中称为"客户端"。
• HTTP service：HTTP服务提供商，简称服务提供商。
• Resource Owner：资源所有者，本文中又称"用户".
• User Agent:用户代理，本文中指浏览器。
• Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。
• Resource server: 资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器可以同一台服务器，也可以是不同的服务器。

OAuth的作用就是让"客户端"安全可控的获取"用户"的授权，与"服务商提供商"

Oauth的设计思路

OAuth在"客户端"与“服务提供商"之间，设置了一个授权层(authorization layer)。“客户端”不能直接登陆“服务提供商”，只能登陆授权层，以此把客户端和用户分开来。“客户端”登陆授权层所用的令牌（token），与用户的密码不同，用户可以在登陆的时候指定授权层令牌的权限范围和有效期。
“客户端”登陆授权层以后，“服务提供商”根据令牌的权限范围和有效期，向“客户端”开放用户存储的资料。

客户端的授权模式

1、授权码模式(authorization code)
2、简化模式(implicit)
3、密码模式(resource owner password credentials)
4、客户端模式(client credentials)