微服务统一认证,OAuth2 的认证流程

随着微服务的兴起,OAuth2也火了起来,由于其自身的优势,俨然已成为微服务API服务接口安全防护的首选。

微服务统一认证,OAuth2 的认证流程

啥是 OAuth2

OAuth2(Open Authorization,开放授权)是OAuth的升级版本。OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。

OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。

OAuth2 核心概念

OAuth 2.0 主要有4类角色:

  • resource owner:资源所有者,指终端的“用户”(user)
  • resource server:资源服务器,即服务提供商存放受保护资源。访问这些资源,需要获得访问令牌(access token)。
  • client:客户端,代表向受保护资源进行资源请求的第三方应用程序。
  • authorization server: 授权服务器, 在验证资源所有者并获得授权成功后,将发放访问令牌给客户端。
微服务统一认证,OAuth2 的认证流程

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

OAuth2 认证流程

微服务统一认证,OAuth2 的认证流程

  1. 用户在第三方应用上点击登录,应用向认证服务器发送请求,说有用户希望进行授权操作,同时说明自己是谁、用户授权完成后的回调url。
  2. 认证服务器展示给用户自己的授权界面。
  3. 用户进行授权操作,认证服务器验证成功后,生成一个授权编码code,并跳转到第三方的回调url。
  4. 第三方应用拿到code后,连同自己在平台上的身份信息(ID密码)发送给认证服务器,再一次进行验证请求,说明自己的身份正确,并且用户也已经授权我了,来换取访问用户资源的权限。
  5. 认证服务器对请求信息进行验证,如果没问题,就生成访问资源服务器的令牌access_token,交给第三方应用。
  6. 第三方应用使用access_token向资源服务器请求资源。
  7. 资源服务器验证access_token成功后返回响应资源。


分享到:


相關文章: