《OAuth基本介绍》PPT课件.pptx

《《OAuth基本介绍》PPT课件.pptx》由会员分享，可在线阅读，更多相关《《OAuth基本介绍》PPT课件.pptx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Hundsun Technologies Inc.|OAUTH 2.0 介绍介绍Hundsun Technologies Inc.|前言前言互联开放互联开放功能开放功能开放数据资源数据资源开放开放计算能力计算能力开放开放商业商业技能技能开放开放Hundsun Technologies Inc.|前言前言首要问题 信息安全Hundsun Technologies Inc.|前言前言首要问题 资源安全第三方应用需要访问受控资源安全问题第三方应用需要为以后的访问保存用户授信，通常是密码明文服务器需要支持密码验证，尽管密码方式天生安全性不够授信后第三方应用可以访问所有资源，无法进一步控制范围资源拥有者

2、无法对某个应用取消授权，如果不想再授信，只能改密码开发问题开发者需要为每个服务器开发登录接口Hundsun Technologies Inc.|前言前言解决方案 授权代理Hundsun Technologies Inc.|前言前言解决方案 授权代理安全和灵活登录和授权在授权服务器进行第三方应用只持有访问令牌（AccessToken）无用户名和密码信息资源拥有者参与授权过程资源拥有者有机会撤销授权对第三方应用本身安全授信简单OAUTH服务提供者还是应用开发者，都很容易于理解与使用开放统一任何服务提供商都可以实现OAUTH，任何软件开发商都可以使用OAUTHHundsun Technologies

3、 Inc.|OAUTH 2.0 认证授权流程介绍认证授权流程介绍认证授权流程方式授权码授权(服务端WEB应用流程)隐式授权(客户端WEB应用流程)用户密码凭证(资源拥有者密码凭证流程）客户端凭证(应用凭证流程)Hundsun Technologies Inc.|认证授权流程认证授权流程-基本概念基本概念资源拥有者/用户(Resource Owner)受保护的数据(如个人信息)或者服务的拥有人一般是具体的用户资源服务器(Resource Server)提供资源的服务器，如保存了个人照片的服务器.资源服务器通过服务接入提供对保护资源的访问客户端/第三方应用(Client/3rd App)拿资源拥有

4、者的凭证去访问保护资源并再加个为资源拥有者提供更多的服务授权服务器用来认证授权并向第三方应用发放令牌的服务器资源拥有者、第三方应用、资源服务器之间的授权代理Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)Hundsun Technologies Inc.|授权码授权授权码授权WEB服务器授权流程Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)授权流程1.用户在授权服务器认证和对应用授权2.发放授权码(Authorization Code)3.交换访问令牌(Access T

5、oken)4.访问服务5a.刷新访问令牌Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤1：认证和授权1.第三放应用发现没有授权时将用户转发到授权服务器的授权入口redirect:http:/192.168.75.43/oauth2/authorize?response_type=code&client_id=manage_center&redirect_uri=http%3A%2F%2Flocalhost%3A8180%2Fmanage%2Fredirect.htm&state=782038818881537参数参数：授权En

6、dPoint:http:/192.168.75.43/oauth2/authorizeresponse_type:授权类型，这个地方用授权码codeclient_id:第三方应用的注册ID，第三方应用本身也是需要注册的，服务器会为他发行一个ID和密钥redirect_uri:回调URL，等授权完成后会调用该接口state:一个不容易被猜出的数字，用于防止跨域伪造攻击Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤1：认证和授权1.第三放应用发现没有授权时将用户转发到授权服务器的授权入口2.用户在授权服务器登录登录不是每次出现，如

7、果当前浏览器已经登录过则无需登录Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤1：认证和授权1.第三放应用发现没有授权时将用户转发到授权服务器的授权入口2.用户在授权服务器登录3.用于对应用申请的访问授权用户有机会参与到授权过程自己决定是否统一对应用授信如果用户拒绝，不会回到第三方应用Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤2：发行授权码1.授权通过后，授权服务器生成授权码并发送到回调接口返回URL提供参数code2.回调接口解析并取得授权码Hundsu

8、n Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤3：交换访问令牌1.发送请求到访问令牌EndPoint(http:/192.168.75.43/oauth2/token)2.返回JSON格式的令牌信息Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤3：交换访问令牌请求参数：安全请求Header:其中包括了：应用ID:在授权服务器上登记应用获得的ID应用密钥Secret:在授权服务器上注册后发给的密钥代码:grant_type:授权类型,值=authorization_code

9、code:授权码，前一步交互得到的临时授权码，一次有效redirect_uri:回调URI，令牌发行成功后回调的URI，必须是授权码申请的那个Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤3：交换访问令牌应答格式：access_token:发行的访问令牌，下次访问保护资源的时候要带上token_type:令牌类型，用于扩充自定义令牌机制，默认是不记名令牌expires_in:过期时间(有效期)，单位秒；访问令牌一般时间都比较短，为了减少攻击者在攻破第三方应用后可能的风险refresh_token:刷新令牌，如果开启了刷新令牌功

10、能，会同时发放刷新令牌，这样在访问令牌过期前可以拿刷新令牌去换新的访问令牌Tips:交换访问令牌是不走浏览器的，减少了恶意插件带来的风险Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)步骤4：访问保护资源在所有访问保护URL请求头上增加访问令牌信息：Tips:-资源服务器在收到服务请求时会与授权服务器交互验证该令牌有效性如果令牌无效，会返回4xx异常-为提高执行效率，资源服务器一般会提供带时效的缓存来保存访问令牌，但是这样的负面作用是用户撤销授权后还会有一段时间服务依然会通过Hundsun Technologies Inc.|授权码

11、授权授权码授权(WEB服务器授权流程服务器授权流程)步骤5a：刷新访问令牌如果应用授权使用刷新令牌，在获取访问令牌的时候会同时发放刷新令牌第三方应用在自己的数据库保存刷新令牌在访问令牌过期前调用令牌EndPoint获取新的访问令牌和刷新令牌Tips:启用刷新令牌相当于用户在第三方应用长期登录，第三方应用可以在任何时候以资源拥有者的授权凭证进行资源访问Hundsun Technologies Inc.|授权码授权授权码授权(WEB服务器授权流程服务器授权流程)适用场景第三方应用是Web服务器需要长时间访问资源API 比较重要，避免访问令牌经过浏览器，减少泄漏可能Tips:启用刷新令牌相当于用户在

12、第三方应用长期登录，第三方应用可以在任何时候以资源拥有者的授权凭证进行资源访问Hundsun Technologies Inc.|插播：恒生办公开放平台插播：恒生办公开放平台(预研版预研版)Hundsun Technologies Inc.|恒恒生办公开放平台生办公开放平台(预研预研)目的全员参与共建自动化办公，提升工作效率挖掘公司信息资产，提升资产利用程度打通各子系统孤岛，提供整体办公方案为恒生金融云运营积累技术经验Hundsun Technologies Inc.|恒恒生办公开放平台生办公开放平台(预研预研)功能授权服务器恒生域认证授权授权码授权隐式授权客户端授权Hundsun Techn

13、ologies Inc.|恒恒生办公开放平台生办公开放平台(预研预研)功能授权服务器资源服务通讯录服务股票资讯恒生之家客房预定（测试）Hundsun Technologies Inc.|恒恒生办公开放平台生办公开放平台(预研预研)功能授权服务器资源服务管理控制台注册开发者管理对应用的授权注册和审批应用Hundsun Technologies Inc.|隐式授权隐式授权授权授权客户端WEB应用授权流程Hundsun Technologies Inc.|隐式授权隐式授权(客户端应用授权客户端应用授权)适用场景只是需要临时访问保护资源第三方应用(客户端)运行在浏览器上(JavaScript,Flas

14、h)第三方应用和浏览器是高可信的例子：照片查看应用需要访问他的联系方式照片查看应用提示用户需要授权用户确认后到授权服务器授权通过后直接回到照片应用认证授权步骤提示用户需要授权，同意后到授权服务器授权从URL解析访问令牌访问保护资源Hundsun Technologies Inc.|隐式授权隐式授权(客户端应用授权客户端应用授权)步骤1：提示用户需要授权并转发到授权服务器一般需要先提示用户后续操作需要授权重定向到授权EndPointHundsun Technologies Inc.|隐式授权隐式授权(客户端应用授权客户端应用授权)步骤2：解析访问令牌授权通过后授权服务器会将令牌信息附加到回调UR

15、L上返回步骤3:访问保护资源将访问令牌附加到请求URL的安全头Header 或者参数(如果不支持Header)Hundsun Technologies Inc.|隐式授权隐式授权(客户端应用授权客户端应用授权)与授权码方式区别不使用二次交换，直接发放访问令牌访问令牌在浏览器传输，安全性较低未安全考虑，不提供刷新令牌Hundsun Technologies Inc.|密码凭证授权密码凭证授权资源拥有者密码凭证授权流程Hundsun Technologies Inc.|密码凭证授权密码凭证授权资源拥有者密码凭证授权流程Hundsun Technologies Inc.|密码凭证授权密码凭证授权第三

16、方应用直接拿用户ID和密码交换访问令牌和刷新令牌步骤1.要求用户提供ID和密码2.用密码凭证到授权服务器换取访问令牌3.访问授权服务4.刷新访问令牌Hundsun Technologies Inc.|密码凭证授权密码凭证授权步骤1:提示用户输入ID和密码步骤2：用密码凭证到授权服务器换取访问令牌访问授权服务刷新访问令牌Hundsun Technologies Inc.|密码凭证授权密码凭证授权适用场景仅限官方应用刷新令牌要慎用，等同于在第三方应用保存了一份ID和密码一般辅助以更高安全保护，如SSL，数字证书、U盾等Hundsun Technologies Inc.|客户端凭证授权客户端凭证授权对第三方应用凭证授权流程Hundsun Technologies Inc.|客户端凭证授权客户端凭证授权解决问题非具体用户的资源或者无需资源拥有者授权或其他流程已经保证资源授权流程步骤1.使用客户端ID和密钥交换访问令牌2.访问授权服务使用场景第三方应用自己的资源内部应用，如本身是资源服务器其他流程已经保障了资源安全性和授权Hundsun Technologies Inc.|Thank you!