OAuth 2.0实战(一)-通俗光速入门

1 什么是开放平台(Open Platform)

在软件行业和网络中，开放平台指软件系统通过公开其API使外部程序可增加该软件系统的功能或使用该软件系统的资源，而无需更改该软件系统的源码。 在互联网时代，把网站的服务封装成一系列计算机易识别的数据接口开放出去，供第三方开发者使用，这种行为就叫做Open API，提供开放API的平台本身就被称为开放平台。 很多应用都提供微信登录方式，减少了用户注册的繁琐。- 第一次使用牛客网时，相信很多人是直接使用三方帐号（比如QQ、微信、微博）登录

牛客网平台会直接使用你三方信息作为基础信息，对用户来说方便很多。那这到底是怎么实现的呢？三方把你的个人信息给了牛客网平台，它又怎么保证你的数据安全的呢？ 其背后原理就是 OAuth 2.0。

2 OAuth 2.0 是什么？

“Auth”表示 “授权”， “O” 是 Open 简称，表示 “开放” ，表示 “开放授权”。

2007 年 OAuth 1.0 诞生，妄想一套授权机制打通全场景，e.g. Web、移动应用场景等，但这些场景并非完全相同，且还有安全上的固化攻击等问题，直接宣判死刑。于是2011 年的 OAuth 2.0 扩充授权许可机制类型，更加灵活适应各种场景。

Spring Security Oauth2 是什么？ Oauth2，是一种协议，安全授权协议，而 Spring Security Oauth2 是一种框架，它是根据 Oauth2 协议开发。 Spring Security 也是一种框架，一种提供声明式的安全访问控制解决方案的安全框架，跟OAuth没有直接关系。

用户管理、认证中心、网关之间的联系： 三个不同事物，网关是单独一个方向的内容，一般开放平台或者微服务框架下鉴权的工作都是在网关内完成，也就是认证（授权）完成【授权】，在网关完成【鉴权】，用户管理是独立于认证中心的存在，没有认证中心，用户管理一样要有。

静默登录实际上是通过【静默授权】这种方式实现的，但是这个有个前提或者限制性的条件，不需要获取用户的更详细的信息比如头像、性别等信息，只能获取到用户的唯一标识比如openid和union id信息，所以，需要考虑是否能满足生产环境需求。

OAuth 2.0 是一种授权协议。那如何理解这里的“授权”呢？

2.1 授权案例知多少？

2.1.1 华为面试场景

比如我当年准备去华为南研所参加面试，要是直接走大门，门卫会一把把我拦住，质问有无工牌。当然了我没有，于是就被要求去接待大厅做登记。然后到了前台，我说是来面试的，并出示了身份证和短信通知。小姐姐确认后给了我一张通行卡证，然后就能自由出入华为南研所啦。 本来我是无权限进入华为南研所的，但是经过前台小姐姐验证后，她发现我确实是被预约来面试的，于是给了张通行卡证。这个过程就是授权。

2.1.2 文章排版场景

比如我的公众号JavaEdge，日常运营手动一个个排版，繁琐劝退我的更新频率！后来发现个“xx”第三方软件，可高效排版文章内容。可xx又是如何能访问到我的文章数据的？因为公众号提供了开放平台，xx通过开放平台的 API 就能访问到文章数据。

只因我在xx软件里扫码同意了，xx就拿到了个访问令牌，通过它可获取到我所有文章数据并帮我排版了。 这也是授权。我要是不扫码同意，公众号也不会把这些数据给到三方软件。

其实该场景使用的就是授权码许可（Authorization Code）类型。它是 OAuth 2.0 中最经典、最完备、最安全、应用最广泛的许可类型。

3 为什么用 OAuth 2.0？

理解完上面两种场景，可以想象关于授权，最容易的方案就是提供令牌。你要去华为南研所面试，那接待大厅小姐姐就给你张通行证；xx要获取你的订单信息，你就把你的用户名密码给它。但稍微有些安全意识，我们都不会这样做。

因为你有了临时通行证，那以后都能自由出入园区了。所以，华为有一套完善的机制，通过给你一张临时的通行证，达到在保证安全情况下，还能让你进入园区。这就是 OAuth 2.0。它通过给xx软件一个访问令牌，而不是让xx拿着你的用户名密码获取订单。

OAuth 2.0 授权协议，就是保证三方软件只有在获得授权后，才可进一步访问授权者的数据。因此也常被称为一种安全协议。

4 OAuth 2.0 的执行流程

我：“你好，xx。我正在 Google 浏览器上面，需要访问你来帮我处理我在公众号的文章。”

xx软件：“好的，我需要你给我授权。现在我把你引导到公众号开放平台，你在那里给我授权。” 开放平台：“你好。我收到了xx软件跳转过来的请求，现在已经准备好了一个授权页面。你登录并确认后，点击授权页面上面的授权按钮即可。” 我：“好的，开放平台。我看到了这个授权页面，已经扫码授权” 开放平台：“你好，xx打单软件。我收到号主的授权，现在要给你生成一个授权码，通过浏览器重定向到你的回调 URL 地址上面了。” xx软件：“好的，开放平台。我现在从浏览器上拿到了授权码，现在就用这个授权码来请求你，请给我一个访问令牌 access_token 吧。” 开放平台：“好的，xx，访问令牌已经发送给你了。” xx软件：“我现在就能使用访问令牌来获取他的公众号的全部文章了。”

我：“我已经能够看到我的文章了，现在就开始一键排版了。”

可见，xx的最终目的志在获取一个“访问令牌”。之后就有足够的 “权限”去请求我的公众号的所有文章了，也就能帮我排版了。

xx是拿授权码换取的访问令牌。那xx又是如何拿到授权码的？在我授权后才产生授权码，后续流程，都是在我对xx软件授权发生以后才产生的。所以究其本质流程： 生成授权码 => 生成访问令牌 => 使用访问令牌 所以 OAuth 2.0 授权核心就是颁发访问令牌、使用访问令牌。

5 总结

OAuth 2.0 的核心是授权许可，即令牌机制。互联网中受保护资源，几乎都以 Web API 的形式提供访问，比如xx软件要获取我的文章数据，三方软件通过 OAuth 2.0 取得访问权限后，我也便把这些权限委托给了xx这种三方软件，所以 OAuth 2.0 是一种委托协议。 也正因为这种三方软件，每次都是用访问令牌而非用户名密码来请求用户数据，也大大减少数据安全风险。

参考

• 《OAuth 2 in Action》
• OAuth 2 协议规范
• OAuth 2.0是要通过什么方式解决什么问题