[简易图解]『 OAuth2.0』 猴子都能懂的图解
7 / 62 / 创建于 6年前 /
chihokyo 的个人博客
一,写在前面的
这两天在看论坛的L03API教程上面的oAuth,对于oAuth这个概念,一直还很模糊,找了很多国内的一些东西看的,当然还有论坛推荐的阮一峰的说明,但是总是感觉有种理不清楚的感觉。
加之国内很多教程对于非计算机专业的人理解不友好。
恰好在日本网站上看到了一些说明特别容易理解。就按照他们的思路自己写了这一段图。
顺便说下,没别的意思,对于IT一些术语的解释,国内还是偏向于专业化了,甚至很多也只是翻译国外的文章,没有自己的理解,还有可能是我。。看的太少了吧。也有可能是我的实力不够。
国外有很多感觉真的是写给猴子看的,还有面向儿童的一些书,很适合我这种刚开始接触某个概念的人来看。
- 废话不多说了,上图了。这是根据PPT做出来的简图。
- 如果想一次性看完的,可以去下面这里直接看。
- 新手理解,不吝赐教。
- PPT幻灯片
为了不引起歧义补充说明一下,这篇只是很概括的说明了一下什么是OAuth。
真正的授权肯定不是这么简单,到具体的OAuth授权模式上会更加复杂,看完这篇可以看看这篇我总结的授权模式,授权模式总结,比这个稍微没这么好懂一点,但我非计算机专业的我都能懂的话,应该认真看问题不大。本篇文章就不做赘述啦。
二,步骤图
1.我们这里有一份用户的数据
2.用户的数据我们保存在资源服务器(Resource server)里
3.这时候有个 第三方应用程序(Third-party application)想要请求资源服务器要用户数据
4.为了让用户数据和第三方程序程序良好的交互,资源服务器准备了一个API接口
5.第三方应用程序向资源服务器请求用户的数据
6.资源服务器表示好的给你了
7.但如果这个第三方应用程序是恶意的第三方呢?那么就会有以下的场景出现
8.所以我们需要一个机制来保护API接口,不能随随便便毫无安全可言的把用户的数据送出去
9.这个最佳实践就事先在第三方程序里保存一个令牌access_token
10.第三方应用程序在向资源服务器请求用户数据的时候会出示这个access_token
11.然后资源服务器取出授权码并且验证是否有授权
12.授权通过,资源服务器才会把用户数据传递给第三方应用程序
13.但这种方案需要事先给第三方access_token
14.所以我们需要一个东西用来发行这个access_token,这时候认证服务器 (Authorization server)登场了
15.认证服务器负责生成并且发行access_token给第三方应用程序
16.接下来我们看一下目前的登场的人物有
- 第三方应用程序
- 资源服务器
- 认证服务器
- access_token
- 用户数据
资源服务器和认证服务器有时候是同一台服务器
17.接下来我们来走一下流程 认证服务器生成access_token
18.认证服务器发行access_token授权给第三方应用程序
19.第三方应用程序拿着access_token去找资源服务器要用户数据
20.资源服务器取出来access_token并验证
21.验证通过 用户数据送出
22. 问题点来了
到上面为止有个很大的问题就是,认证服务器生成access_token竟然没人管!那岂不是随便发行了,这不行,于是我们的用户 (Resource Owner:资源所有者)出现了!
23. 解决
认证服务器在发行access_token之前要先通过用户的同意
24. 于是接下来就是
- 第三方应用程序向认证服务器要access_token
- 认证服务器生成之前先问问用户能不能授权啊
- 用户说好的可以给
- 认证服务器生成access_token并且发行给第三方应用程序
25. oAuth2.0
第三方应用程序和这个认证服务器之间围绕着access_token进行请求和响应的等等就是oAuth2.0
本作品采用《CC 协议》,转载必须注明作者和本文链接
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: