OAuth是目前最流行的授权机制,用于授权第三方应用和获取用户数据。
这个标准比较抽象,用了很多术语,初学者不容易理解。其实并不复杂。让我用一个简单的类比来帮助你轻松理解OAuth是什么。
一、快递员问题
我住在一个大的住宅区。
社区里有门禁系统。
输入时需要输入密码。
我经常做网购和外卖,每天都有快递员送货上门。我必须想办法让快递员通过门禁系统进入小区。
如果我告诉快递员我的密码,他会和我有同样的权限,这似乎不合适。万一我要取消他进入社区的权利,那就很麻烦了。我必须更改自己的密码并通知其他快递员。
快递员有没有办法在不知道小区居民密码的情况下自由进入小区,他唯一的权限是送货,其他需要密码的场合他没有权限?
二、授权机制的设计
于是,我设计了一套授权机制。
第一步是在门禁系统的密码输入设备下增加一个名为“获取授权”的按钮。快递员需要先按这个按钮才能申请授权。
第二步,他按下按钮后,车主(也就是我)的手机会弹出:对话框,有人在请求授权。系统还会显示快递员的姓名、工作编号和快递公司。
当我确认请求为真时,我点击按钮并告诉访问控制系统我同意授权他进入社区。
第三步:在我确认之后,访问控制系统向快递员显示访问令牌。令牌是一串类似于密码的数字,只在短时间内有效(比如7天)。
第四步,快递员将令牌输入门禁系统,进入社区。
有人可能会问,为什么不远程为快递员开门,而是单独为他生成代币呢?这是因为快递员可能每天都要送货,第二天就可以重复使用这个代币。此外,一些社区有多个访问控制,快递员可以使用相同的令牌通过它们。
第三,互联网场景
我们把上面的例子移到互联网上,这是OAuth的设计。
首先,住宅小区是存储用户数据的网络服务。例如,如果您存储我的朋友信息并获得该信息,则必须通过“访问控制系统”。
其次,快递员(或快递公司)是想通过门禁系统进入社区的第三方应用。
最后,我是用户本人,我同意授权第三方应用进入社区获取我的数据。
简单来说,OAuth就是一种授权机制。数据所有者告诉系统,他同意授权第三方应用程序进入系统并获取数据。因此,系统会生成一个短期登录令牌,用于替换第三方应用程序的密码。
四.令牌和密码
令牌和密码功能相同,都可以进入系统,但是有三个区别。
(令牌是短期的,到期后会自动失效,用户不能自行修改。一般密码长期有效,用户不修改也不会改变。
(令牌可由数据所有者撤销,并将立即过期。例如,所有者可以随时取消快递员的代币。密码一般不允许被别人撤销。
(令牌有权限范围,比如只能进入小区二号门。对于网络服务,只读令牌比读写令牌更安全。密码通常是完全权限。
上述设计保证了令牌不仅可以让第三方应用获得权限,而且可以随时可控,不会危及系统安全。这就是OAuth的优势。
请注意,一旦您知道令牌,您就可以进入系统。一般系统不会再次确认身份,所以令牌必须保密,泄露令牌的后果和泄露密码一样。这也是代币的有效期一般设置得很短的原因。
OAuth对如何发行代币有非常详细的规定。具体来说,授权授予有四种类型,即四种颁发令牌的方式,适用于不同的互联网场景。
本文到此结束,希望对大家有所帮助。