2011-03-18 15:04:48 
阿炯
OAuth 是针对访问授权的一个开放标准,它正通过许多实现(包括针对Spring Security的一个实现)而不断获得动力。
OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的,目的在于为API访问授权提供一个开放的标准。OAuth讨论组于2007年4月建立,以便向这个小组的实现者提供一种机构来编写协议草案。Eran Hammer-Lahav与Google的DeWitt Clinton在开发过程中做出了巨大的贡献。规范的1.0版于2007年12月4日发布。
在官方网站的首页,可以看到下面这段简介:
An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.
大致意思是说OAUTH是一种开放的协议,为桌面程序或者基于BS的web应用提供了一种简单的,标准的方式去访问需要用户授权的API服务。OAUTH 类似于Flickr Auth、Google's AuthSub、Yahoo's BBAuth、 Facebook Auth等。OAUTH认证授权具有以下特点:
1. 简单:不管是OAUTH服务提供者还是应用开发者,都很容易于理解与使用;
2. 安全:没有涉及到用户密钥等信息,更安全更灵活;
3. 开放:任何服务提供商都可以实现OAUTH,任何软件开发商都可以使用OAUTH;
OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如 PHP,JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大头公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。
从高层次来看,OAuth按以下方式工作:
1. 你的站点已与不同的验证服务供应商建立了关系。
2. 你共享一个密码短语或者公钥,这样你就能使用它访问web联系人。
3. 你根据验证服务供应商将用户重定向到登录页面。
4. 该用户登录然后告诉验证服务供应商你的站点访问其地址薄是没问题的。
你可以进入其主页的下载地址中下载各种开发语言对应的 OAuth 开发包。
认证和授权过程
在认证和授权的过程中涉及的三方包括:
* 服务提供方,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表。
* 用户,存放在服务提供方的受保护的资源的拥有者
* 客户端,要访问服务提供方资源的第三方应用,通常是网站,如提供照片打印服务的网站。在认证过程之前,客户端要向服务提供者申请客户端标识。
使用OAuth进行认证和授权的过程如下所示:
1. 用户访问客户端的网站,想操作用户存放在服务提供方的资源。
2. 客户端向服务提供方请求一个临时令牌。
3. 服务提供方验证客户端的身份后,授予一个临时令牌。
4. 客户端获得临时令牌后,将用户引导至服务提供方的授权页面请求用户授权。在这个过程中将临时令牌和客户端的回调连接发送给服务提供方。
5. 用户在服务提供方的网页上输入用户名和密码,然后授权该客户端访问所请求的资源。
6. 授权成功后,服务提供方引导用户返回客户端的网页。
7. 客户端根据临时令牌从服务提供方那里获取访问令牌。
8. 服务提供方根据临时令牌和用户的授权情况授予客户端访问令牌。
9. 客户端使用获取的访问令牌访问存放在服务提供方上的受保护的资源。
也可以这样来理解:
我们可以对OAUTH认证授权的流程进行初步认识。其实,简单的来说,OAUTH认证授权就三个步骤,三句话可以概括:
1. 获取未授权的Request Token
2. 获取用户授权的Request Token
3. 用授权的Request Token换取Access Token
当应用拿到Access Token后,就可以有权访问用户授权的资源了。大家肯能看出来了,这三个步骤不就是对应OAUTH的三个URL服务地址嘛。一点没错,上面的三个步骤中,每个步骤分别请求一个URL,并且收到相关信息,并且拿到上步的相关信息去请求接下来的URL直到拿到Access Token。具体的步骤如下图所示:
具体每步执行信息如下:
A. 使用者(第三方软件)向OAUTH服务提供商请求未授权的Request Token。向Request Token URL发起请求,请求需要带上的参数见上图。
B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者。
C. 使用者向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL发起请求,请求带上上步拿到的未授权的token与其密钥。
D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。
E. Request Token 授权后,使用者将向Access Token URL发起请求,将上步授权的Request Token换取成Access Token。请求的参数见上图,这个比第一步A多了一个参数就是Request Token。
F. OAUTH服务提供商同意使用者的请求,并向其颁发Access Token与对应的密钥,并返回给使用者。
G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。
相关术语:
在弄清楚OAUTH流程之前,我们先了解下OAUTH的一些术语的定义:
* OAUTH相关的三个URL:
o Request Token URL: 获取未授权的Request Token服务地址;
o User Authorization URL: 获取用户授权的Request Token服务地址;
o Access Token URL: 用授权的Request Token换取Access Token的服务地址;
* OAUTH相关的参数定义:
o oauth_consumer_key: 使用者的ID,OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用,再获取该应用的oauth_consumer_key。如Yahoo该值的注册地址为:https://developer.yahoo.com/dashboard/
o oauth_consumer_secret:oauth_consumer_key对应的密钥。
o oauth_signature_method: 请求串的签名方法,应用每次向OAUTH三个服务地址发送请求时,必须对请求进行签名。签名的方法有:HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种。
o oauth_signature: 用上面的签名方法对请求的签名。
o oauth_timestamp: 发起请求的时间戳,其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数。本次请求的时间戳必须大于或者等于上次的时间戳。
o oauth_nonce: 随机生成的字符串,用于防止请求的重放,防止外界的非法攻击。
o oauth_version: OAUTH的版本号,可选,其值必须为1.0。
OAUTH HTTP响应代码:
* HTTP 400 Bad Request 请求错误
o Unsupported parameter 参数错误
o Unsupported signature method 签名方法错误
o Missing required parameter 参数丢失
o Duplicated OAuth Protocol Parameter 参数重复
* HTTP 401 Unauthorized 未授权
o Invalid Consumer Key 非法key
o Invalid/expired Token 失效或者非法的token
o Invalid signature 签名非法
o Invalid/used nonce 非法的nonce
书籍参考:
Getting.Started.with.OAuth.2.0.2012.Ryan.Boyd
最新版本:2.0
OAuth 2.0是OAuth协议的下一版本,但不向后兼容OAuth 1.0。OAuth 2.0关注客户端开发者的简易性,同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。规范还在IETF OAuth工作组的开发中,按照Eran Hammer-Lahav的说法,OAuth将于2010年末完成。Facebook的新的Graph API只支持OAuth 2.0,是这一新兴标准的最大实现。
官方主页:http://oauth.net/