OAuth是为解决应用之间、网站之间互相访问的一种简单、标准、安全的API授权协议。
官网对其的定义:
An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.
一个典型的OAuth应用通常包括三种角色,分别是:
举例来说:假设我们要做一个APP,它有一个功能,需要使用Twitter做第三方登录,那么就需要使用到Twitter提供的认证以及查询用户相关信息的API,那么此时的消费方就是我们的APP,而服务提供者则是Twitter。
消费方如果想使用服务提供者的OAuth功能,通常需要先申请两样东西:
当消费方生成签名的时候,会用到它们。
一个典型的OAuth流程通常如下图所示:
OAuth流程图
基本就是用Request Token换取Access Token的过程。这里需要注意的是,对服务提供者而言,Request Token和Access Token的生命周期不一样,通常,Request Token的生命周期很短,一般在一个小时以内,这样相对安全一些;而Access Token的生命周期很长,往往是无限,如此一来,消费方就可以把它保存起来,以后的操作就无需用户再授权了,即便用户修改账号密码,也不会受影响,当然,用户可以废除消费方的授权。
前面描述的OAuth,被称为3-Legged OAuth,这也是OAuth的标准版本。这里所谓的“三条腿”,指的是授权过程中涉及三步流程。不过有些情况下,不需要用户的参与,此时就产生了一个变体,被称作两条腿的OAuth(2-Legged OAuth),两条腿的OAuth和三条腿的OAuth相比,因为没有用户的参与,所以在流程中就不会涉及用户授权的环节,而主要是通过Consumer Key和Consumer Secret来完成签名的,此时的Consumer Key和Consumer Secret基本等价于账号和密码的作用。
OAuth关注的是authorization;而OpenID侧重的是authentication。从表面上看,这两个英文单词很容易混淆,但实际上,它们的含义有本质的区别:
OAuth关注的是授权,即:“用户能做什么”;而OpenID关注的是证明,即:“用户是谁”。
客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。
说明:
签名的意义在于防止请求被篡改。如果没有签名,只是简单的使用Consumer Key和Consumer Secret,那和HTTP Basic还有什么区别?实际使用OAuth的时候,请求中是不包含Consumer Secret的,它只是参与签名的计算,所以,就算请求被别有用心的人截获也是没用的,因为他不知道Consumer Secret,所以算不出正确的签名,也就无法构造出合法的请求。
3-Legged OAuth就是通过User的授权,Consumer可以访问User在Service
Provider的数据;至于2-Legged OAuth,没有User的参与,只是Consumer和Service Provider的交互
