标签:
对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成。具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份。但是这种由Web应用全权负责的认证方式会带来如下两个问题:
上面提出的这两点旨在说明一个问题:在Internet环境下,我们针对具体的Web应用设计独立的认证系统往往是一件“吃力不讨好”的事情。如果我们开发一个很小的Web应用,可能在实现用户认证功能上面花费的成本比实现应用自身业务功能的成本更大,而且还会因为“信任危机”导致潜在的使用者不敢注册。
在这种情况下,如果一个值得信任的第三方能够提供一种免费的认证服务,那么这两个问题均会迎刃而解。实际上目前这样的第三方认证服务很多,而且他们的提供者均为值得信赖的IT服务提供商,比如微软、Google、Facebook、Twitter,以及国内的新浪、腾讯、网易、人人和豆瓣等。就目前来说,这些第三方认证服务绝大部分均是基于OAuth 2.0设计的。
假设我有一件非常重要的文件存储与于瑞士银行的私有保险柜中,如果我需要委托某个人将他提取出来,除了将密码告诉他之外别无他法,但是OAuth的目的却是定义一种协议帮助资源的拥有者在不提供自身凭证的前提下授权第三方应用以他的名义存取受保护的资源。OAuth的全称为“Open Authorization”,所以它是一个开放的协议,目前最新的版本为2.0。
获得资源拥有者授权的第三方应用请求受保护的资源采用的不是授权者的凭证,所有一个被称为Access Token的安全令牌。Access Token颁发过程会涉及到若干不同的“实体”,它们在这个过程中扮演者不同的角色,我们通过一个具体的场景来认识一下该过程中涉及到的几种角色。
假设我们开发了一个集成了新浪微博认证的用于发布打折商品消息的App,经过用户授权之后它可以调用新浪微博的Web API或者用户的电子邮箱地址并发布相应的打折消息。那么OAuth 2.0在这个场景中的作用就在于:用户授权该应用以自己的名义调用新浪微博的Web API获取自己的电子邮箱地址,整个过程涉及到如下4种角色。
一般来说,如果我们需要针对某种类型的第三方认证服务来开发我们自己的应用,我们需要向采用的认证服务提供商对该应用进行注册,注册成功之后会得到一个唯一标识该应用的ClientID和对应的ClientSecret(ClientID/ClientSecret是Windows Live Connect 的说法,Twitter和Facebook分别叫做ConsumerKey/ComsumerSecret和AppID/AppSecret。如果采用Google提供的OAuth 2.0 API,ClientID和ClientSecret是不需要的。)。它们相当于客户端应用的凭证,认证服务利用它们来确定其真实身份。
接下来我们简单演示一下如何为集成Windows Live Connect API的应用注册一个ClientID。我们利用浏览器直接访问https://account.live.com/developers/applications,如果当前用户尚未登录,浏览器会自动重定向到登录窗口。当我们采用某个Windows Live帐号完成登录之后,如下图所示的“Windows Live Developer Center”页面会呈现出来。
然后我们直接点击“Create application”连接创建一个新的应用。我们只需要在显示页面的“Application name”文本框中为创建的应用设置一个名称,同时在“Language”下拉框中选择适合的语言。如下图所示,我们为创建的应用取名为“AppDemo”。
当我们点击“I accept”按钮之后,应用被成功创建,相应的ClientID和ClientSecret也被生成出来。如下图所示,ClientID和ClientSecret的值分别为“000000004410A2A5”和“HeIrRmGyHHtMqhBDJipfGiauQnSHtYUX”。除此之外,我们要需要设置重定向地址的域名,Windows Live向客户端应用发送Access Token,以及其他数据采用的URI必须采用此域名,我们在下图中指定的域名为“https://www.artech.com”。域名成功设置之后,点击“Save”按钮之后整个注册工作结束。
虽然OAuth 2.0具体采用的执行流程因采用不同类型的授权方式而有所不同,但是整个流程大体上由客户端应用分别与资源拥有者、授权服务器和资源服务器进行的3轮交互来完成。这个过程基本上体现在下图中,这被称为经典的“Three-Legged OAuth”。
客户端应用试图获取某个受保护的资源,首先得取得资源拥有者的授权,所以第一轮消息交换旨在让客户端获得资源拥有者(即用户)的授权。客户端应用得到授权之后会得到一个被称为Authorization Grant的对象,该对象实际上就是一个简单的字符串用以表示成功取得了用户的授权。接下来客户端应用利用此Authorization Grant向授权服务取获取用于访问受保护资源所需的Access Token。在成功获得Access Token之后,客户端应用将其附加到针对资源服务器的请求中以获取它所需要的目标资源。
OAuth 2.0的执行流程有点类似于的Kerberos认证:客户端先获得“认购权证”TGT(Ticket Granting Ticket),再利用TGT购买“入场券”ST(Service Ticket),最后凭借ST进行服务调用。对于OAuth 2.0来说,Access Token相当于Kerberos的ST,而Authorization Grant则与TGT具有相同的作用。
OAuth 2.0中的Authorization Grant代表一种中间凭证(Intermediate Credential),它代表了资源拥有者针对客户端应用获取目标资源的授权。OAuth 2.0定义了如下4种Authorization Grant类型,我们也可以利用定义其中的扩展机制定制其他类型的Authorization Grant。Authorization Grant的类型体现了授权采用的方式以及Access Token的获取机制。
在本系列后续两篇文章中我们将对Implicit和Authorization Code这两种典型的Authorization Grant进行详细介绍,敬请期待。
标签:
原文地址:http://www.cnblogs.com/Alex80/p/5590065.html
