OAuth 2.0中的授权类型选择指南
2021-09-055.4k 阅读
OAuth 2.0 授权类型概述
OAuth 2.0 是目前广泛使用的授权框架,它为第三方应用提供了一种安全且便捷的方式来获取用户对资源的访问权限。在 OAuth 2.0 中,不同的授权类型适用于不同的应用场景和安全需求。理解这些授权类型的差异以及如何正确选择,对于构建安全可靠的应用至关重要。
OAuth 2.0 主要定义了四种授权类型:授权码模式(Authorization Code Grant)、隐式授权模式(Implicit Grant)、客户端凭证模式(Client Credentials Grant)和密码模式(Resource Owner Password Credentials Grant)。每种授权类型都有其独特的流程、适用场景和安全特性。
授权码模式(Authorization Code Grant)
授权码模式的流程
- 用户请求访问:用户在客户端应用中发起对受保护资源的访问请求。客户端应用将用户重定向到授权服务器的授权端点,附带客户端 ID、重定向 URI、范围(scope)等参数。例如,一个第三方照片应用想要访问用户在照片服务提供商上的照片,它会将用户引导到照片服务提供商的授权页面。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient.example.com%2Fcallback&scope=read
- 用户授权:授权服务器验证用户身份,并向用户展示授权页面,询问用户是否授权客户端应用访问请求的资源。如果用户同意授权,授权服务器将生成一个授权码,并将用户重定向回客户端应用指定的重定向 URI,同时带上授权码和状态参数(state)。
HTTP/1.1 302 Found
Location: https://client.example.com/callback?code=SplxlOBeZQQYbYS6WxSbIA
&state=xyz
- 客户端获取令牌:客户端应用收到授权码后,使用授权码向授权服务器的令牌端点请求访问令牌。请求时需要提供客户端 ID、客户端密钥(如果有)、授权码和重定向 URI。授权服务器验证授权码和其他参数的有效性后,向客户端颁发访问令牌和刷新令牌(可选)。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient.example.com%2Fcallback
- 访问资源:客户端应用使用获取到的访问令牌向资源服务器请求访问受保护资源。资源服务器验证访问令牌的有效性后,返回请求的资源。
GET /resource HTTP/1.1
Host: resource.example.com
Authorization: Bearer 2YotnFZFEjr1zCsicMWpAA
适用场景
授权码模式适用于有后端服务器的 Web 应用,因为它提供了较高的安全性。授权码在传输过程中是短期有效的,并且只有客户端应用的后端服务器能够获取访问令牌,减少了令牌泄露的风险。例如,一个基于 Web 的在线文档编辑应用,需要访问用户在云存储服务中的文档,就可以使用授权码模式。
代码示例(以 Python Flask 为例)
- 安装依赖:
pip install flask requests
- 客户端代码:
from flask import Flask, request, redirect, session
import requests
app = Flask(__name__)
app.secret_key = 'your_secret_key'
@app.route('/')
def index():
authorization_url = 'https://authorization-server.com/authorize'
params = {
'response_type': 'code',
'client_id': 'your_client_id',
'redirect_uri': 'http://localhost:5000/callback',
'scope':'read'
}
return redirect(authorization_url + '?' + '&'.join([f'{k}={v}' for k, v in params.items()]))
@app.route('/callback')
def callback():
code = request.args.get('code')
token_url = 'https://authorization-server.com/token'
data = {
'grant_type': 'authorization_code',
'code': code,
'redirect_uri': 'http://localhost:5000/callback',
'client_id': 'your_client_id',
'client_secret': 'your_client_secret'
}
response = requests.post(token_url, data=data)
tokens = response.json()
access_token = tokens.get('access_token')
# 这里可以使用 access_token 访问资源
return f'Access Token: {access_token}'
if __name__ == '__main__':
app.run(debug=True)
- 授权服务器代码示例(简化示意,实际更复杂):
from flask import Flask, request, jsonify
import secrets
app = Flask(__name__)
# 模拟客户端信息
clients = {
'your_client_id': 'your_client_secret'
}
# 模拟授权码存储
authorization_codes = {}
# 模拟访问令牌存储
access_tokens = {}
@app.route('/authorize')
def authorize():
client_id = request.args.get('client_id')
redirect_uri = request.args.get('redirect_uri')
scope = request.args.get('scope')
# 验证客户端等操作
if client_id not in clients:
return 'Invalid client', 401
code = secrets.token_urlsafe(16)
authorization_codes[code] = {
'client_id': client_id,
'redirect_uri': redirect_uri,
'scope': scope
}
redirect_url = f"{redirect_uri}?code={code}"
return redirect(redirect_url)
@app.route('/token', methods=['POST'])
def token():
client_id = request.form.get('client_id')
client_secret = request.form.get('client_secret')
code = request.form.get('code')
redirect_uri = request.form.get('redirect_uri')
# 验证客户端和授权码等操作
if client_id not in clients or clients[client_id]!= client_secret:
return 'Invalid client', 401
if code not in authorization_codes or authorization_codes[code]['redirect_uri']!= redirect_uri:
return 'Invalid code', 401
access_token = secrets.token_urlsafe(32)
access_tokens[access_token] = {
'client_id': client_id,
'scope': authorization_codes[code]['scope']
}
return jsonify({
'access_token': access_token,
'token_type': 'bearer'
})
if __name__ == '__main__':
app.run(debug=True)
隐式授权模式(Implicit Grant)
隐式授权模式的流程
- 用户请求访问:与授权码模式类似,用户在客户端应用中发起对受保护资源的访问请求。客户端应用将用户重定向到授权服务器的授权端点,附带客户端 ID、重定向 URI、范围(scope)和响应类型(response_type=token)等参数。
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient.example.com%2Fcallback&scope=read
- 用户授权:授权服务器验证用户身份,并向用户展示授权页面,询问用户是否授权客户端应用访问请求的资源。如果用户同意授权,授权服务器将直接在重定向 URI 的哈希片段(fragment)中返回访问令牌和状态参数(state),而不经过客户端应用的后端服务器。
HTTP/1.1 302 Found
Location: https://client.example.com/callback#access_token=2YotnFZFEjr1zCsicMWpAA
&token_type=bearer&expires_in=3600&state=xyz
- 客户端使用令牌:客户端应用在浏览器中通过 JavaScript 解析哈希片段获取访问令牌,然后使用该令牌向资源服务器请求访问受保护资源。
适用场景
隐式授权模式适用于纯前端应用,如单页应用(SPA)。由于这类应用没有后端服务器来安全地处理授权码,隐式授权模式允许直接在前端获取访问令牌。然而,由于令牌直接暴露在浏览器地址栏中,存在一定的安全风险,因此适用于对安全性要求相对较低,且资源敏感性不高的场景。例如,一个简单的在线小游戏应用,需要获取用户的基本公开信息。
代码示例(以 JavaScript 为例)
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Implicit Grant Example</title>
</head>
<body>
<button onclick="requestAuthorization()">请求授权</button>
<script>
function requestAuthorization() {
const authorizationUrl = 'https://authorization-server.com/authorize';
const params = {
'response_type': 'token',
'client_id': 'your_client_id',
'redirect_uri': 'http://localhost:8080/callback',
'scope':'read'
};
const queryString = Object.keys(params).map(key => `${key}=${encodeURIComponent(params[key])}`).join('&');
window.location.href = authorizationUrl + '?' + queryString;
}
function getHashParams() {
const hash = window.location.hash.substring(1);
return hash.split('&').reduce((acc, param) => {
const parts = param.split('=');
acc[parts[0]] = decodeURIComponent(parts[1]);
return acc;
}, {});
}
const hashParams = getHashParams();
if (hashParams.access_token) {
const accessToken = hashParams.access_token;
// 这里可以使用 access_token 访问资源
console.log('Access Token:', accessToken);
}
</script>
</body>
</html>
客户端凭证模式(Client Credentials Grant)
客户端凭证模式的流程
- 客户端请求令牌:客户端应用直接向授权服务器的令牌端点发送请求,请求中包含客户端 ID 和客户端密钥(如果有),以及授权类型(grant_type=client_credentials)和范围(scope)。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials&scope=read
- 颁发令牌:授权服务器验证客户端的身份和权限后,向客户端颁发访问令牌。该令牌用于客户端应用自身访问受保护资源,而不是代表某个特定用户。
- 访问资源:客户端应用使用获取到的访问令牌向资源服务器请求访问受保护资源。
适用场景
客户端凭证模式适用于客户端应用代表自身访问资源的场景,通常用于后端服务之间的交互。例如,一个数据分析服务需要定期从数据存储服务中获取数据进行分析,这种情况下可以使用客户端凭证模式。因为它不需要用户的参与,只关注客户端应用本身的权限。
代码示例(以 Java Spring Boot 为例)
- 添加依赖:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
</dependencies>
- 配置文件:
spring.security.oauth2.client.registration.client-credentials.client-id=your_client_id
spring.security.oauth2.client.registration.client-credentials.client-secret=your_client_secret
spring.security.oauth2.client.registration.client-credentials.authorization-grant-type=client_credentials
spring.security.oauth2.client.registration.client-credentials.scope=read
spring.security.oauth2.client.provider.client-credentials.token-uri=https://authorization-server.com/token
- 获取令牌并访问资源:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.CommandLineRunner;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClient;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClientService;
import org.springframework.security.oauth2.client.authentication.OAuth2LoginAuthenticationToken;
import org.springframework.security.oauth2.core.OAuth2AccessToken;
import org.springframework.web.client.RestTemplate;
@SpringBootApplication
public class ClientCredentialsApp implements CommandLineRunner {
@Autowired
private OAuth2AuthorizedClientService authorizedClientService;
public static void main(String[] args) {
SpringApplication.run(ClientCredentialsApp.class, args);
}
@Override
public void run(String... args) throws Exception {
OAuth2LoginAuthenticationToken authentication = (OAuth2LoginAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
String clientRegistrationId = authentication.getAuthorizedClientRegistrationId();
OAuth2AuthorizedClient authorizedClient = authorizedClientService.loadAuthorizedClient(clientRegistrationId, authentication.getName());
OAuth2AccessToken accessToken = authorizedClient.getAccessToken();
String resourceUrl = "https://resource-server.com/resource";
RestTemplate restTemplate = new RestTemplate();
restTemplate.getInterceptors().add((request, body, execution) -> {
request.getHeaders().add("Authorization", "Bearer " + accessToken.getTokenValue());
return execution.execute(request, body);
});
String response = restTemplate.getForObject(resourceUrl, String.class);
System.out.println("Resource Response: " + response);
}
}
密码模式(Resource Owner Password Credentials Grant)
密码模式的流程
- 客户端请求令牌:客户端应用向用户请求用户名和密码,然后使用这些凭据向授权服务器的令牌端点发送请求,请求中包含授权类型(grant_type=password)、用户名、密码和范围(scope)。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=password&username=johndoe&password=A3ddj3w&scope=read
- 颁发令牌:授权服务器验证用户名和密码的有效性,以及客户端的身份和权限后,向客户端颁发访问令牌。
- 访问资源:客户端应用使用获取到的访问令牌向资源服务器请求访问受保护资源。
适用场景
密码模式适用于高度信任的客户端应用,并且用户对客户端应用有较高的信任度。例如,企业内部开发的移动应用,用户已经通过企业的身份验证机制登录,并且应用与企业的授权服务器紧密集成。但由于直接获取用户的用户名和密码,存在较大的安全风险,应谨慎使用。
代码示例(以 Node.js 为例)
- 安装依赖:
npm install request
- 客户端代码:
const request = require('request');
const tokenUrl = 'https://authorization-server.com/token';
const data = {
grant_type: 'password',
username: 'your_username',
password: 'your_password',
scope:'read',
client_id: 'your_client_id',
client_secret: 'your_client_secret'
};
request.post({ url: tokenUrl, form: data }, (error, response, body) => {
if (!error && response.statusCode === 200) {
const tokens = JSON.parse(body);
const accessToken = tokens.access_token;
// 这里可以使用 access_token 访问资源
console.log('Access Token:', accessToken);
} else {
console.error('Error getting token:', error);
}
});
授权类型选择考量因素
- 应用类型:如果是有后端服务器的 Web 应用,授权码模式是首选,因为它提供了较高的安全性,通过后端服务器处理授权码可以有效保护令牌。对于纯前端应用,如单页应用,隐式授权模式更为合适,尽管存在一定风险,但符合前端应用的架构特点。如果是后端服务之间的交互,客户端凭证模式是最佳选择,因为它不涉及用户交互,只关注客户端自身的权限。而密码模式适用于高度信任的客户端应用且用户对其有较高信任度的场景。
- 安全要求:对安全性要求极高的场景,如涉及金融交易等敏感信息的应用,应避免使用隐式授权模式和密码模式,优先选择授权码模式。授权码模式通过多步骤的流程和授权码的短期有效性,降低了令牌泄露的风险。客户端凭证模式在后端服务交互场景中,由于不涉及用户凭证,也具有较高的安全性。
- 用户体验:隐式授权模式在前端应用中可以提供更流畅的用户体验,因为它无需经过后端服务器的额外处理步骤。但在安全性和用户体验之间需要进行权衡。授权码模式虽然多了一些步骤,但安全性更高,对于用户敏感信息的保护更好,在一些对安全要求高的场景下,用户也能理解这种稍微复杂的流程。
- 资源敏感性:如果访问的资源是高度敏感的,如个人财务信息、医疗记录等,应选择更安全的授权类型,如授权码模式。对于一些公开或不太敏感的资源,如用户的公开资料等,可以考虑使用隐式授权模式等相对简单的方式,但也要根据具体情况评估风险。
在实际应用中,需要综合考虑以上因素,选择最适合的 OAuth 2.0 授权类型,以确保应用的安全性、用户体验和资源访问的合法性。同时,无论选择哪种授权类型,都应该遵循 OAuth 2.0 的规范和最佳实践,加强安全防护措施,如对令牌的安全存储、传输加密等。