# OAuth 2.0 认证

> 参考文档：1. https://oauth.net/2/  2. https://www.cnblogs.com/Wddpct/p/8976480.html

OAuth 2.0是一个用于用户认证的工业标准协议。

它是一个开放标准，允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容，OAuth2.0是OAuth协议的延续版本，但不向后兼容OAuth 1.0即完全废止了OAuth1.0。

OAuth 2.0取代了2006年生效的OAuth认证协议。 OAuth 2.0聚焦于客户端开发的简单性，为web应用、桌面应用、移动应用和智能设备提供了专用的认证流。

## OAuth中的角色

在认证和授权的过程中涉及的角色包括：


- 用户（Resource Owner）

资源所有者即代表授权客户端访问本身资源信息的用户（User），也就是应用场景中的“开发者A”。客户端访问用户帐户的权限仅限于用户授权的“范围”（aka. scope，例如读取或写入权限）。

- 资源/授权服务器（Resource/Authorization Server）

资源服务器托管了受保护的用户账号信息，而授权服务器验证用户身份然后为客户端派发资源访问令牌。

资源/授权服务器有时也称为“服务提供方”，用户使用服务提供方来存储受保护的资源，如照片，视频，联系人列表。


- 客户端

在 OAuth 2 中，客户端即代表意图访问受限资源的第三方应用。在访问实现之前，它必须先经过用户者授权，并且获得的授权凭证将进一步由授权服务器进行验证。

即要访问服务提供方资源的第三方应用，通常是web应用系统或移动应用系统，如提供照片打印服务的网站。在认证过程之前，客户端要向服务提供者申请客户端标识。

## 认证过程
使用OAuth进行认证和授权的过程如下所示:

![oauth2abstractflow](images/201906/oauth2abstractflow.png)

阶段一：
1. Authrization Request
客户端向用户请求对资源服务器的authorization grant。
2. Authorization Grant（Get）
如果用户授权该次请求，客户端将收到一个authorization grant。

阶段二：
3. Authorization Grant（Post）
客户端向授权服务器发送它自己的客户端身份标识和上一步中的authorization grant，请求访问令牌。
4. Access Token（Get）
如果客户端身份被认证，并且authorization grant也被验证通过，授权服务器将为客户端派发access token。授权阶段至此全部结束。

阶段三：
5. Access Token（Post && Validate）
客户端向资源服务器发送access token用于验证并请求资源信息。
6. Protected Resource（Get）
如果access token验证通过，资源服务器将向客户端返回资源信息。

## 客户端应用注册

在应用 OAuth 2 之前，你必须在授权方服务中注册你的应用。如 Google Identity Platform 或者 Github OAuth Setting，诸如此类 OAuth 实现平台中一般都要求开发者提供如下所示的授权设置项。

- 应用名称
- 应用网站
- 重定向URI或回调URL

重定向URI是授权方服务在用户授权（或拒绝）应用程序之后重定向供用户访问的地址，因此也是用于处理授权码或访问令牌的应用程序的一部分。

一旦你的应用注册成功，授权方服务将以client id和client secret的形式为应用发布client credentials（客户端凭证）。client id是公开透明的字符串，授权方服务使用该字符串来标识应用程序，并且还用于构建呈现给用户的授权 url 。当应用请求访问用户的帐户时，client secret用于验证应用身份，并且必须在客户端和服务之间保持私有性。

## 四种授权许可方式（Authorization Grant）

如上文的抽象授权流程图所示，前四个阶段包含了获取authorization grant和access token的动作。授权许可类型取决于应用请求授权的方式和授权方服务支持的 Grant Type。OAuth 2 定义了四种 Grant Type，每一种都有适用的应用场景。

- Authorization Code
结合普通服务器端应用使用。
- Implicit
结合移动应用或 Web App 使用。
- Resource Owner Password Credentials
适用于受信任客户端应用，例如同个组织的内部或外部应用。
- Client Credentials
适用于客户端调用主服务API型应用（比如百度API Store）

以上四种最为常用，但OAuth2.0中还存在以下两种方式：

- Device Code

The Device Code grant type is used by browserless or input-constrained devices in the device flow to exchange a previously obtained device code for an access token.

The Device Code grant type value is urn:ietf:params:oauth:grant-type:device_code.

- Refresh Token

The Refresh Token grant type is used by clients to exchange a refresh token for an access token when the access token has expired.

This allows clients to continue to have a valid access token without further interaction with the user.

以下将分别介绍这四种许可类型的相关授权流程。

### Authorization Code Flow

![oauth2-authorizationcodeflow](images\201906\oauth2-authorizationcodeflow.png)

Authorization Code 是最常使用的一种授权许可类型，它适用于第三方应用类型为server-side型应用的场景。Authorization Code授权流程基于重定向跳转，客户端必须能够与User-agent（即用户的 Web 浏览器）交互并接收通过User-agent路由发送的实际authorization code值。

具体需要5步：

#### step1. 客户端发出用户认证请求（User Authorization Request）

此时，客户端程序（某个借助微信、微博、QQ、Github、Google等账号完成认证的普通网站）会构造了一个用于请求authorization code的URL，并引导用户使用的浏览器（User-agent）进行跳转访问。其形式如下所示：

```
https://authorization-server.com/auth
 ?response_type=code
 &client_id=29352915982374239857
 &redirect_uri=https%3A%2F%2Fexample-client.com%2Fcallback
 &scope=create+delete
 &state=xcoiv98y2kd22vusuye3kch
```

链接中的参数：
- response_type=code
此参数和参数值用于提示授权服务器当前客户端正在进行Authorization Code授权流程。
- client_id
客户端身份标识。
- redirect_uri
标识授权服务器接收客户端请求后返回给User-agent的跳转访问地址。
- scope
指定客户端请求的访问级别。
- state
由客户端生成的随机字符串，步骤2中用户进行授权客户端的请求时也会携带此字符串用于比较，这是为了防止CSRF攻击。



例如，人人网上利用微信进行OAuth认证时，会产生如下的URL
```
# Request Headers

:authority: open.weixin.qq.com
:method: GET
:path: /connect/qrconnect?appid=wx136722737065dbc1&redirect_uri=http%3A%2F%2Fwww.renren.com%2Fapi%2Fcallback&response_type=code&scope=snsapi_login&state=eyJzcmMiOiJ3eCJ9
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
accept-encoding: gzip, deflate, br
accept-language: zh-CN,zh;q=0.9
cookie: _ga=GA1.2.1470663339.1552562811; pgv_pvid=1770357800; pgv_pvi=5690037248; RK=QTjthbydfW; ptcz=1eb0d914ba1f67e904702e8546dc2d38211166170d9194bc8d6bc4254472f1e5
referer: http://www.renren.com/
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36

# Query String Parameter

appid=wx136722737065dbc1&redirect_uri=http%3A%2F%2Fwww.renren.com%2Fapi%2Fcallback&response_type=code&scope=snsapi_login&state=eyJzcmMiOiJ3eCJ9
```
浏览器上会弹出一个微信扫描图片：

![微信扫描](images\201906\renrenwangwx.png)

#### step2. 用户认证应用（ User Authorizes Applcation）

当用户点击上文中的示例链接时，用户必须已经在授权服务中进行登录（否则将会跳转到登录界面，不过 OAuth 2 并不关心认证过程），然后授权服务会提示用户授权或拒绝应用程序访问其帐户。以下是授权应用程序的示例：

![oauth2-douban](images\201906\oauth2-douban.png)

仍以人人网登录为例，扫码后会有如下url

```
Referer: https://open.weixin.qq.com/connect/qrconnect?appid=wx136722737065dbc1&redirect_uri=http%3A%2F%2Fwww.renren.com%2Fapi%2Fcallback&response_type=code&scope=snsapi_login&state=eyJzcmMiOiJ3eCJ9
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36
uuid: 071Wtbb-X-pIKaLj
last: 404
_: 1560776990024
```



#### step3. 认证码授权（Authorization Code Grant）

如果用户确认授权，授权服务器将重定向User-agent至之前客户端提供的指向客户端的redirect_uri地址，并附带code和state参数（由之前客户端提供），于是客户端便能直接读取到authorization code值。
```
https://example-client.com/redirect?code=g0ZGZmNjVmOWIjNTk2NTk4ZTYyZGI3&state=xcoiv98y2kd22vusuye3kch
```
state值将与客户端在请求中最初设置的值相同。客户端将检查重定向中的状态值是否与最初设置的状态值相匹配。这可以防止CSRF和其他相关攻击。

code是授权服务器生成的authorization code值。code相对较短，通常持续1到10分钟，具体取决于授权服务器设置。

仍以人人网微信登录过程为例。扫码后，会出现下列请求头和查询字符串：

```
# Request Headers

GET http://www.renren.com/api/callback?code=071AaFnS1SvHA517EwrS1IPNnS1AaFnN&state=eyJzcmMiOiJ3eCJ9 HTTP/1.1
Host: www.renren.com
Proxy-Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: anonymid=jx050h94-wztd5k; depovince=GW; _r01_=1; jebe_key=a549b96e-2bbf-4f6c-a458-fc2f157abcd0%7Ccfcd208495d565ef66e7dff9f98764da%7C1560761316343%7C0; jebecookies=a1987f4e-842a-4e19-979e-f2c3f55e5811|||||; JSESSIONID=abc6AKzjOwl3W9AQ3HLTw; ick_login=a481aae1-366a-4697-9261-340f361f568e

# Query String Parameter

code=071AaFnS1SvHA517EwrS1IPNnS1AaFnN&state=eyJzcmMiOiJ3eCJ9
```


```
Referer: https://open.weixin.qq.com/connect/qrconnect?appid=wx136722737065dbc1&redirect_uri=http%3A%2F%2Fwww.renren.com%2Fapi%2Fcallback&response_type=code&scope=snsapi_login&state=eyJzcmMiOiJ3eCJ9
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36
```
#### step4. Access Token Request

现在客户端已经拥有了服务器派发的authorization code，接下来便可以使用authorization code和其他参数向服务器请求access token（POST方式）。其他相关参数如下：

- grant_type=authorization_code - 这告诉服务器当前客户端正在使用Authorization Code授权流程。
- code - 应用程序包含它在重定向中给出的授权码。
- redirect_uri - 与请求authorization code时使用的redirect_uri相同。某些资源（API）不需要此参数。
- client_id - 客户端标识。
- client_secret - 应用程序的客户端密钥。这确保了获取access token的请求只能从客户端发出，而不能从可能截获.
- authorization code的攻击者发出。

#### step5. Access Token Grant

服务器将会验证第4步中的请求参数，当验证通过后（校验authorization code是否过期，client id和client secret是否匹配等），服务器将向客户端返回access token。
```
{
  "access_token":"MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3",
  "token_type":"bearer",
  "expires_in":3600,
  "refresh_token":"IwOGYzYTlmM2YxOTQ5MGE3YmNmMDFkNTVk",
  "scope":"create delete"
}
```
至此，授权流程全部结束。直到access token 过期或失效之前，客户端可以通过资源服务器API访问用户的帐户，并具备scope中给定的操作权限。

### Implicit Flow

Implicit授权流程和Authorization Code基于重定向跳转的授权流程十分相似，但它适用于移动应用和 Web App，这些应用与普通服务器端应用相比有个特点，即client secret不能有效保存和信任。

相比Authorization Code授权流程，Implicit去除了请求和获得authorization code的过程，而用户点击授权后，授权服务器也会直接把access token放在redirect_uri中发送给User-agent（浏览器）。 同时第1步构造请求用户授权 url 中的response_type参数值也由 code 更改为 token 或 id_token 。

![oauth2-implicitflow](images\201906\oauth2-implicitflow.png)

#### User Authorization Request

客户端构造的URL如下所示：
```
https://{yourOktaDomain}.com/oauth2/default/v1/authorize?client_id=0oabv6kx4qq6
h1U5l0h7&response_type=token&redirect_uri=http%3A%2F%2Flocalhost%3
A8080&state=state-296bc9a0-a2a2-4a57-be1a-d0e2fd9bb601&nonce=foo'
```
- response_type的response_type参数值为 token 或 id_token 。其他请求参数与Authorization Code授权流程相比没有并什么变化。

#### User Authorizes Application

（略）

#### Redirect URI With Access Token In Fragment

假设用户授予访问权限，授权服务器将User-agent（浏览器） 重定向回客户端使用之前提供的redirect_uri。并在 uri 的 #fragment 部分添加access_token键值对。如下所示：
```
http://localhost:8080/#access_token=eyJhb[...]erw&token_type=Bearer&expires_in=3600&scope=openid&state=state-296bc9a0-a2a2-4a57-be1a-d0e2fd9bb601
```
- token_type - 当且仅当response_type设置为 token 时返回，值恒为 Bearer。

注意在Implicit流程中，access_token值放在了 URI 的 #fragment 部分，而不是作为 ?query 参数。

#### User-agent Follows the Redirect URI

User-agent（浏览器）遵循重定向指令，请求redirect_uri标识的客户端地址，并在本地保留 uri 的 #fragment 部分的access_token信息。

#### Application Sends Access Token Extraction Script

客户端生成一个包含 token 解构脚本的 Html 页面，这个页面被发送给User-agent（浏览器），执行脚本解构完整的redirect_uri并提取其中的access_token（access token信息在第4步中已经被User-agent保存）。

####  Access Token Passed to Application

User-agent（浏览器）向客户端发送解构提取的access token。

至此，授权流程全部结束。直到access token 过期或失效之前，客户端可以通过资源服务器API访问用户的帐户，并具备scope中给定的操作权限。

### Resource Owner Password Credentials Flow

Resource Owner Password Credentials授权流程适用于用户与客户端具有信任关系的情况，例如设备操作系统或同一组织的内部及外部应用。用户与应用交互表现形式往往体现为客户端能够直接获取用户凭据（用户名和密码，通常使用交互表单）。
![oauth2-resourceownerpasswordcredentialsflow](images\201906\oauth2-resourceownerpasswordcredentialsflow.png)

#### Resource Owner Password Credentials From User Input

用户向客户端提供用户名与密码作为授权凭据。

#### Resource Owner Password Credentials From Client To Server

客户端向授权服务器发送用户输入的授权凭据以请求 access token。客户端必须已经在服务器端进行注册。
```
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=password&username=johndoe&password=A3ddj3w
```

grant_type - 必选项，值恒为 password

#### Access Token Passed to Application

授权服务器对客户端进行认证并检验用户凭据的合法性，如果检验通过，将向客户端派发 access token>
```
{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}
```
### Client Credentials Flow

Client Credential是最简单的一种授权流程。客户端可以直接使用它的client credentials或其他有效认证信息向授权服务器发起获取access token的请求。

![oauth2-clientcredentialflow](images\201906\oauth2-clientcredentialflow.png)

两步中的请求体和返回体分别如下：
```
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials
```

- grant_type - 必选项，值恒为 client_credentials
```
{
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "example_parameter":"example_value"
}
```