就是对第三方应用的授权机制,使其获取用户的数据
数据所有者收到第三方请求授权后,告诉系统通过第三方应用的请求,系统就会自动生成一个令牌(token),用来替代密码,供第三方应用使用。
令牌的特点
是短期有效的。因为获取了令牌就相当于获取了密码,所以需要保证安全性,用户也不能进行更改。
令牌可以被数据所有者撤销,立即失效。
令牌是有权限范围的,并不是获取了令牌就可以代替密码使用。
而数据所有者向第三方应用颁发令牌有四种方式,无论哪种方式,客户端申请权限之前,都必须到系统备案,说明自己的身份,然后会获取两个身份识别码:客户端ID(client ID)和客户端密钥(client password)
第一种授权方式:识别码
第三方应用先申请一个授权码,再通过授权码请求令牌。这种方式安全性最高,适用于有后端的Web应用。授权码通过前端发送,而令牌储存在后端,而且所有与资源服务器的通信都在后端完成。
第一步:A网站提供一个链接,用户点击后就会跳转到B网站。此时A网站的请求参数有response_type=code,表示以要求返回授权码。client_id用来向网站B标明身份,redirect_url表示网站B接收或拒绝后跳转的页面,scope表示授权范围
第二步:用户跳转后,B网站会要求用户登录,然后询问是否同意给A网站授权,同意后会跳转到指定的地址,并带上授权码
第三步:A网站拿到授权码后,就可以在后端,向B网站请求令牌 参数中的client_id和client_secret用来标明身份,grant_type值为AUTHORIZATION_CODE,表示请求授权的是授权码,code为授权码,redirect_url是返回令牌跳转的地址
第四步:B网站接受请求后,就会颁发令牌,方法就是向返回的URL上发送json格式的数据。其中aceess_token就是令牌
第二种授权方式:隐藏式
有的应用没有后端,就只能将令牌储存在前端
第一步:网站A提供一个链接,要求用户跳转到网站B,授权令牌给网站A使用。参数中response_type为token,表示直接返回令牌,redirect_url表示同意后的跳转地址
第二步:网站B接受请求,跳转到之前指定的URL,并在参数中带上令牌。
注意:令牌是URL的锚点而不是查询字符串,不会发送到服务器,减小泄露的可能
第三种授权方式:密码式
如果高度信任某应用,可以将用户名和密码直接告诉该应用,该应用通过其请求令牌
第一步:A网站要求用户提供B网站的用户名和密码,直接通过用户名和密码请求令牌。参数中grant_type为password,表示为密码式,username和password分别是B 的用户名和密码。
第二步:B网站验证身份通过后,直接将令牌当做json数据,放在http响应中返回
第四种方式:凭证式
适用于没有前端的命令行应用,
第一步:A应用在命令行上向B网站发送请求。参数中grant_type为client_credentials表示采用凭证式,client_id和client_secret用来标明身份
第二步:B网站验证身份后向A应用返回令牌
这种方式给出的令牌是针对应用的,而不是某个用户,因此可能有多个用户使用该令牌