OAuth2-类比讲解什么是OAuth2


OAuth2简介

OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。
官方的定义:

An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.

一个允许从Web、移动和桌面应用程序简单和标准方法进行安全授权的开放协议。

The OAuth 2.0 authorization framework enables third-party applications to obtain limited access to a web service.

OAuth 2.0 授权框架使第三方应用程序能够获得对 Web 服务的有限访问权限。
从官网的解释就可以知道它可以完成如下两件事:

  1. 对你的应用站点进行安全授权
  2. 使第三方应用程序能够获得对 Web 服务的有限访问权限
    下面我们通过一个简单的类比,来理解下,OAuth 2.0 到底是什么。

快递员问题

问题描述

  1. 我住在一个大型的居民小区。
  2. 小区有门禁系统。
  3. 进入的时候需要输入密码。
  4. 我经常网购和外卖,每天都有快递员来送货。我必须找到一个办法,让快递员通过门禁系统,进入小区。
  5. 如果我把自己的密码,告诉快递员,他就拥有了与我同样的权限,这样好像不太合适。万一我想取消他进入小区的权力,也很麻烦,我自己的密码也得跟着改了,还得通知其他的快递员。
    有没有一种办法,让快递员能够自由进入小区,又不必知道小区居民的密码,而且他的唯一权限就是送货,其他需要密码的场合,他都没有权限?

    授权机制设计

    于是,我设计了一套授权机制。
  6. 第一步,门禁系统的密码输入器下面,增加一个按钮,叫做”获取授权”。快递员需要首先按这个按钮,去申请授权。
  7. 第二步,他按下按钮以后,屋主(也就是我)的手机就会跳出对话框:有人正在要求授权。系统还会显示该快递员的姓名、工号和所属的快递公司。
    我确认请求属实,就点击按钮,告诉门禁系统,我同意给予他进入小区的授权。
  8. 第三步,门禁系统得到我的确认以后,向快递员显示一个进入小区的令牌(access token)。令牌就是类似密码的一串数字,只在短期内(比如七天)有效。
  9. 第四步,快递员向门禁系统输入令牌,进入小区。
    有人可能会问,为什么不是远程为快递员开门,而要为他单独生成一个令牌?这是因为快递员可能每天都会来送货,第二天他还可以复用这个令牌。另外,有的小区有多重门禁,快递员可以使用同一个令牌通过它们。

    互联网场景

    我们把上面的例子搬到互联网,就是 OAuth 的设计了。
    首先,居民小区就是储存用户数据的网络服务。比如,微信储存了我的好友信息,获取这些信息,就必须经过微信的”门禁系统”。
    其次,快递员(或者说快递公司)就是第三方应用,想要穿过门禁系统,进入小区。
    最后,我就是用户本人,同意授权第三方应用进入小区,获取我的数据。

简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

令牌(Token)与密码(Password)

令牌与密码的作用是一样的,都可以进入系统,但是有三点差异。
(1)令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。

(2)令牌可以被数据所有者撤销,会立即失效。以上例而言,屋主可以随时取消快递员的令牌。密码一般不允许被他人撤销。

(3)令牌有权限范围(scope),比如只能进小区的二号门。对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。

上面这些设计,保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。
注意,只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。
OAuth 2.0 对于如何颁发令牌的细节,规定得非常详细。具体来说,一共分成四种授权类型(authorization grant),即四种颁发令牌的方式,适用于不同的互联网场景。右面会具体介绍这四种类型。


文章作者: Niww
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Niww !
 上一篇
OAuth2协议-授权模式详解 OAuth2协议-授权模式详解
什么是 OAuth 2.0OAuth 2.0 是一个行业的标准授权协议。OAuth 2.0 专注于简化客户端开发人员,同时为 Web 应用程序,桌面应用程序,手机和客厅设备提供特定的授权流程。下面我们对OAuth2的4中授权模式进行详细的介
2020-01-13
下一篇 
高频使用的Git命令集合 高频使用的Git命令集合
前言汇总下我在项目中高频使用的git命令及姿势 不是入门文档,官方文档肯定比我全面,这里是结合实际业务场景输出 使用的 Git版本:git version 2.24.0 git log查看日志,常规操作,必备 # 输出概要日志,这条命令
2019-12-28
  目录