OAuth 2.0 标准的 RFC 比较难读懂,本文尽量把认证流程说明白。
OAuth 2.0 共有 4 种访问模式 [1] :
另外注意 OAuth 服务本身必须是 HTTPS 的,而三方应用可以是 HTTP 的。
Authorization Code
假设我们的网站有一个功能是同步用户在 Github 的所有仓库。对接 OAuth 流程大致分为 5 个步骤:
具体流程如下图:
在授权码方式下,ACCESS_TOKEN 只会存在我们网站的服务器里,用户端从始至终都获取不到这个信息,我们不必害怕用户的电脑中毒了而导致 ACCESS_TOKEN 泄露。
(更多安全相关的考虑参考最后的参考文章)
Implicit
Implicit 是为纯网页应用设计的,与 Authorization Code 模式相比:
CLIENT_SECRET
整体流程如下图:
Implicit 设计之初,由于浏览器的同源策略,不允许跨站请求,因此 Authorization Code 不可行 [2] 。现在由于浏览器普遍支持 CORS ,且 Implicit 本身也在安全风险,目前建议使用 PKCE [3] 。
OAuth 2.0 是广泛使用的授权标准,设计的本身也有许多安全性的考量。本文浅尝辄止,只介绍 Authorization Code 与 Implicit 模式的授权过程,而这些流程背后想要解决的问题,需要另选学习。
OAuth 2.0 Security Best Current Practice draft-ietf-oauth-security-topics-09 ↩