《OAuth基本介绍》PPT课件

1、OAUTH 2.0 介绍前言互联开放功能开放数据资源开放计算能力开放商业技能开放前言首要问题 信息安全前言首要问题 资源安全第三方应用需要访问受控资源安全问题第三方应用需要为以后的访问保存用户授信，通常是密码明文服务器需要支持密码验证，尽管密码方式天生安全性不够授信后第三方应用可以访问所有资源，无法进一步控制范围资源拥有者无法对某个应用取消授权，如果不想再授信，只能改密码开发问题开发者需要为每个服务器开发登录接口前言解决方案 授权代理前言解决方案 授权代理安全和灵活登录和授权在授权服务器进行第三方应用只持有访问令牌（AccessToken）无用户名和密码信息资源拥有者参与授权过程资源拥有者有机

2、会撤销授权对第三方应用本身安全授信简单OAUTH服务提供者还是应用开发者，都很容易于理解与使用开放统一任何服务提供商都可以实现OAUTH，任何软件开发商都可以使用OAUTHOAUTH 2.0 认证授权流程介绍认证授权流程方式授权码授权(服务端WEB应用流程)隐式授权(客户端WEB应用流程)用户密码凭证(资源拥有者密码凭证流程）客户端凭证(应用凭证流程)认证授权流程-基本概念资源拥有者/用户(Resource Owner)受保护的数据(如个人信息)或者服务的拥有人一般是具体的用户资源服务器(Resource Server)提供资源的服务器，如保存了个人照片的服务器.资源服务器通过服务接入提供对保

3、护资源的访问客户端/第三方应用(Client/3rd App)拿资源拥有者的凭证去访问保护资源并再加个为资源拥有者提供更多的服务授权服务器用来认证授权并向第三方应用发放令牌的服务器资源拥有者、第三方应用、资源服务器之间的授权代理授权码授权(WEB服务器授权流程)授权码授权WEB服务器授权流程授权码授权(WEB服务器授权流程)授权流程用户在授权服务器认证和对应用授权发放授权码(Authorization Code)交换访问令牌(Access Token)访问服务5a. 刷新访问令牌授权码授权(WEB服务器授权流程)步骤1：认证和授权第三放应用发现没有授权时将用户转发到授权服务器的授权入口redi

4、rect:3/oauth2/authorize?response_type=code&client_id=manage_center&redirect_uri=http%3A%2F%2Flocalhost%3A8180%2Fmanage%2Fredirect.htm&state=782038818881537参数：授权EndPoint: http:/3/oauth2/authorizeresponse_type: 授权类型，这个地方用授权码codeclient_id: 第三方应用的注册ID，第三方应用本身也是需要注册的，服务器会为他发行一个ID和密钥redirect_uri: 回调URL，等授

5、权完成后会调用该接口state: 一个不容易被猜出的数字，用于防止跨域伪造攻击授权码授权(WEB服务器授权流程)步骤1：认证和授权第三放应用发现没有授权时将用户转发到授权服务器的授权入口用户在授权服务器登录登录不是每次出现，如果当前浏览器已经登录过则无需登录授权码授权(WEB服务器授权流程)步骤1：认证和授权第三放应用发现没有授权时将用户转发到授权服务器的授权入口用户在授权服务器登录用于对应用申请的访问授权用户有机会参与到授权过程自己决定是否统一对应用授信如果用户拒绝，不会回到第三方应用授权码授权(WEB服务器授权流程)步骤2：发行授权码授权通过后，授权服务器生成授权码并发送到回调接口返回UR

6、L提供参数code回调接口解析并取得授权码授权码授权(WEB服务器授权流程)步骤3：交换访问令牌发送请求到访问令牌EndPoint(http:/3/oauth2/token)返回JSON格式的令牌信息授权码授权(WEB服务器授权流程)步骤3：交换访问令牌请求参数：安全请求Header:其中包括了：应用ID: 在授权服务器上登记应用获得的ID应用密钥Secret: 在授权服务器上注册后发给的密钥代码:grant_type: 授权类型, 值=authorization_codecode: 授权码，前一步交互得到的临时授权码，一次有效redirect_uri: 回调URI，令牌发行成功后回调的URI

7、，必须是授权码申请的那个授权码授权(WEB服务器授权流程)步骤3：交换访问令牌应答格式：access_token: 发行的访问令牌，下次访问保护资源的时候要带上token_type: 令牌类型，用于扩充自定义令牌机制，默认是不记名令牌expires_in: 过期时间(有效期)，单位秒；访问令牌一般时间都比较短，为了减少攻击者在攻破第三方应用后可能的风险refresh_token: 刷新令牌，如果开启了刷新令牌功能，会同时发放刷新令牌，这样在访问令牌过期前可以拿刷新令牌去换新的访问令牌Tips: 交换访问令牌是不走浏览器的，减少了恶意插件带来的风险授权码授权(WEB服务器授权流程)步骤4：访问保

8、护资源在所有访问保护URL请求头上增加访问令牌信息：Tips: - 资源服务器在收到服务请求时会与授权服务器交互验证该令牌有效性如果令牌无效，会返回4xx异常- 为提高执行效率，资源服务器一般会提供带时效的缓存来保存访问令牌，但是这样的负面作用是用户撤销授权后还会有一段时间服务依然会通过授权码授权(WEB服务器授权流程)步骤5a：刷新访问令牌如果应用授权使用刷新令牌，在获取访问令牌的时候会同时发放刷新令牌第三方应用在自己的数据库保存刷新令牌在访问令牌过期前调用令牌EndPoint获取新的访问令牌和刷新令牌Tips: 启用刷新令牌相当于用户在第三方应用长期登录，第三方应用可以在任何时候以资源拥有

9、者的授权凭证进行资源访问授权码授权(WEB服务器授权流程)适用场景第三方应用是Web服务器需要长时间访问资源API 比较重要，避免访问令牌经过浏览器，减少泄漏可能Tips: 启用刷新令牌相当于用户在第三方应用长期登录，第三方应用可以在任何时候以资源拥有者的授权凭证进行资源访问插播：恒生办公开放平台(预研版)恒生办公开放平台(预研)目的全员参与共建自动化办公，提升工作效率挖掘公司信息资产，提升资产利用程度打通各子系统孤岛，提供整体办公方案为恒生金融云运营积累技术经验恒生办公开放平台(预研)功能授权服务器恒生域认证授权授权码授权隐式授权客户端授权恒生办公开放平台(预研)功能授权服务器资源服务通讯录

10、服务股票资讯恒生之家客房预定（测试）恒生办公开放平台(预研)功能授权服务器资源服务管理控制台注册开发者管理对应用的授权注册和审批应用隐式授权授权客户端WEB应用授权流程隐式授权(客户端应用授权)适用场景只是需要临时访问保护资源第三方应用(客户端)运行在浏览器上(JavaScript, Flash )第三方应用和浏览器是高可信的例子：照片查看应用需要访问他的联系方式照片查看应用提示用户需要授权用户确认后到授权服务器授权通过后直接回到照片应用认证授权步骤提示用户需要授权，同意后到授权服务器授权从URL解析访问令牌访问保护资源隐式授权(客户端应用授权)步骤1：提示用户需要授权并转发到授权服务器一般需

11、要先提示用户后续操作需要授权重定向到授权EndPoint隐式授权(客户端应用授权)步骤2：解析访问令牌授权通过后授权服务器会将令牌信息附加到回调URL上返回步骤3: 访问保护资源将访问令牌附加到请求URL的安全头Header 或者参数(如果不支持Header)隐式授权(客户端应用授权)与授权码方式区别不使用二次交换，直接发放访问令牌访问令牌在浏览器传输，安全性较低未安全考虑，不提供刷新令牌密码凭证授权资源拥有者密码凭证授权流程密码凭证授权资源拥有者密码凭证授权流程密码凭证授权第三方应用直接拿用户ID和密码交换访问令牌和刷新令牌步骤要求用户提供ID和密码用密码凭证到授权服务器换取访问令牌访问授权服务刷新访问令牌密码凭证授权步骤1: 提示用户输入ID和密码步骤2：用密码凭证到授权服务器换取访问令牌访问授权服务刷新访问令牌密码凭证授权适用场景仅限官方应用刷新令牌要慎用，等同于在第三方应用保