OAuth简介
OAuth是在不提供用户名和密码的情况之下,授权第三方应用访问Web资源的安全协议。
OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。
比如在FB上想要导入MSN好友,在没有OAuth时,可能需要用户向FB提供MSN的用户名和密码。
OAuth解决了这个信任问题。它使得用户不需要向FB提供MSN的用户名和密码的情况下,可以授权MSN将用户的好友名单提供给FB。
OAuth中的角色:
服务商(Server):用户使用服务的提供方,一般用来存消息、储照片、视频、联系人、文件等(比如Twitter、Sina等)。
用 户(Resource Owner):服务商的用户
消费方(Client):通常是网站,该网站想要访问用户存储在服务商那里的信息。
上面例子里面,Client是FB,Server是MSN,Resource Owner是用户。
另外一个实例:
Jane在f.com上有两张照片,她想要将这两张照片分享到b.com,这个过程如何实现?
Jane在b.com上选择要分享的两张照片.
在b.com的后台会创建一个临时凭证,稍后Jane将持此凭证前往f.com.
然后页面跳转到f.com的OAuth页面,并要求Jane登录。注意,这里是在f.com上登录。
登录成功后,f.com会询问Jane是否授权b.com访问Jane在f.com里面的私有照片。
如果Jane授权成功,f.com会将Jane带来的临时凭证标记为Jane已经授权,同时跳转回b.com,并带上临时凭证(Temporary Credentials),凭此,b.com知道它可以去获取Jane的照片了。
对于b.com来说,它首先通过Request Token去f.com来换取Access Token,然后就可以用Access Token访问资源了。Request Token只能用于获取用户的授权,Access Token才能用于访问用户的资源。
最终,Jane成功将照片从f.com分享到b.com上。
一个通用的流程:
1、用户访问Client网站,想对用户存放在Server的某些资源进行操作。
2、Client网站向服务商请求一个临时Token。
3、Server验证Client网站的身份后,授予一个临时Token。
4、Client网站获得临时令牌后,将用户导向至Server的授权页面请求用户授权,然后这个过程中将临时Token和Client网站的返回地址发送给Server。
5、用户在Server的授权页面上输入自己的用户名和密码,授权Client网站访问所相应的资源。
6、授权成功后,Server将用户导向Client网站的返回地址。
7、Client网站根据临时Token从Server那里获取访问Token。
8、Server根据Token和用户的授权情况授予Client网站访问Token。
9、Client网站使用获取到的访问Token访问存放在Server的对应的用户资源。
流程图如下
:
中小网站没有必要自己实现OAuth协议,可以使用一些比较成熟的库。具体的库可以查看:http://oauth.net/2/
参考:《白帽子讲web安全》