1、OAUTH 2.0 介紹前言互聯(lián)開放功能開放數(shù)據(jù)資源開放計算能力開放商業(yè)技能開放前言首要問題 信息安全前言首要問題 資源安全第三方應(yīng)用需要訪問受控資源安全問題第三方應(yīng)用需要為以后的訪問保存用戶授信，通常是密碼明文服務(wù)器需要支持密碼驗證，盡管密碼方式天生安全性不夠授信后第三方應(yīng)用可以訪問所有資源，無法進一步控制范圍資源擁有者無法對某個應(yīng)用取消授權(quán)，如果不想再授信，只能改密碼開發(fā)問題開發(fā)者需要為每個服務(wù)器開發(fā)登錄接口前言解決方案 授權(quán)代理前言解決方案 授權(quán)代理安全和靈活登錄和授權(quán)在授權(quán)服務(wù)器進行第三方應(yīng)用只持有訪問令牌（AccessToken）無用戶名和密碼信息資源擁有者參與授權(quán)過程資源擁有者有機

2、會撤銷授權(quán)對第三方應(yīng)用本身安全授信簡單OAUTH服務(wù)提供者還是應(yīng)用開發(fā)者，都很容易于理解與使用開放統(tǒng)一任何服務(wù)提供商都可以實現(xiàn)OAUTH，任何軟件開發(fā)商都可以使用OAUTHOAUTH 2.0 認證授權(quán)流程介紹認證授權(quán)流程方式授權(quán)碼授權(quán)(服務(wù)端WEB應(yīng)用流程)隱式授權(quán)(客戶端WEB應(yīng)用流程)用戶密碼憑證(資源擁有者密碼憑證流程）客戶端憑證(應(yīng)用憑證流程)認證授權(quán)流程-基本概念資源擁有者/用戶(Resource Owner)受保護的數(shù)據(jù)(如個人信息)或者服務(wù)的擁有人一般是具體的用戶資源服務(wù)器(Resource Server)提供資源的服務(wù)器，如保存了個人照片的服務(wù)器.資源服務(wù)器通過服務(wù)接入提供對保

3、護資源的訪問客戶端/第三方應(yīng)用(Client/3rd App)拿資源擁有者的憑證去訪問保護資源并再加個為資源擁有者提供更多的服務(wù)授權(quán)服務(wù)器用來認證授權(quán)并向第三方應(yīng)用發(fā)放令牌的服務(wù)器資源擁有者、第三方應(yīng)用、資源服務(wù)器之間的授權(quán)代理授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)授權(quán)碼授權(quán)WEB服務(wù)器授權(quán)流程授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)授權(quán)流程用戶在授權(quán)服務(wù)器認證和對應(yīng)用授權(quán)發(fā)放授權(quán)碼(Authorization Code)交換訪問令牌(Access Token)訪問服務(wù)5a. 刷新訪問令牌授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟1：認證和授權(quán)第三放應(yīng)用發(fā)現(xiàn)沒有授權(quán)時將用戶轉(zhuǎn)發(fā)到授權(quán)服務(wù)器的授權(quán)入口redi

4、rect:3/oauth2/authorize?response_type=code&client_id=manage_center&redirect_uri=http%3A%2F%2Flocalhost%3A8180%2Fmanage%2Fredirect.htm&state=782038818881537參數(shù)：授權(quán)EndPoint: http:/3/oauth2/authorizeresponse_type: 授權(quán)類型，這個地方用授權(quán)碼codeclient_id: 第三方應(yīng)用的注冊ID，第三方應(yīng)用本身也是需要注冊的，服務(wù)器會為他發(fā)行一個ID和密鑰redirect_uri: 回調(diào)URL，等授

5、權(quán)完成后會調(diào)用該接口state: 一個不容易被猜出的數(shù)字，用于防止跨域偽造攻擊授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟1：認證和授權(quán)第三放應(yīng)用發(fā)現(xiàn)沒有授權(quán)時將用戶轉(zhuǎn)發(fā)到授權(quán)服務(wù)器的授權(quán)入口用戶在授權(quán)服務(wù)器登錄登錄不是每次出現(xiàn)，如果當前瀏覽器已經(jīng)登錄過則無需登錄授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟1：認證和授權(quán)第三放應(yīng)用發(fā)現(xiàn)沒有授權(quán)時將用戶轉(zhuǎn)發(fā)到授權(quán)服務(wù)器的授權(quán)入口用戶在授權(quán)服務(wù)器登錄用于對應(yīng)用申請的訪問授權(quán)用戶有機會參與到授權(quán)過程自己決定是否統(tǒng)一對應(yīng)用授信如果用戶拒絕，不會回到第三方應(yīng)用授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟2：發(fā)行授權(quán)碼授權(quán)通過后，授權(quán)服務(wù)器生成授權(quán)碼并發(fā)送到回調(diào)接口返回UR

6、L提供參數(shù)code回調(diào)接口解析并取得授權(quán)碼授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟3：交換訪問令牌發(fā)送請求到訪問令牌EndPoint(http:/3/oauth2/token)返回JSON格式的令牌信息授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟3：交換訪問令牌請求參數(shù)：安全請求Header:其中包括了：應(yīng)用ID: 在授權(quán)服務(wù)器上登記應(yīng)用獲得的ID應(yīng)用密鑰Secret: 在授權(quán)服務(wù)器上注冊后發(fā)給的密鑰代碼:grant_type: 授權(quán)類型, 值=authorization_codecode: 授權(quán)碼，前一步交互得到的臨時授權(quán)碼，一次有效redirect_uri: 回調(diào)URI，令牌發(fā)行成功后回調(diào)的URI

7、，必須是授權(quán)碼申請的那個授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟3：交換訪問令牌應(yīng)答格式：access_token: 發(fā)行的訪問令牌，下次訪問保護資源的時候要帶上token_type: 令牌類型，用于擴充自定義令牌機制，默認是不記名令牌expires_in: 過期時間(有效期)，單位秒；訪問令牌一般時間都比較短，為了減少攻擊者在攻破第三方應(yīng)用后可能的風險refresh_token: 刷新令牌，如果開啟了刷新令牌功能，會同時發(fā)放刷新令牌，這樣在訪問令牌過期前可以拿刷新令牌去換新的訪問令牌Tips: 交換訪問令牌是不走瀏覽器的，減少了惡意插件帶來的風險授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟4：訪問保

8、護資源在所有訪問保護URL請求頭上增加訪問令牌信息：Tips: - 資源服務(wù)器在收到服務(wù)請求時會與授權(quán)服務(wù)器交互驗證該令牌有效性如果令牌無效，會返回4xx異常- 為提高執(zhí)行效率，資源服務(wù)器一般會提供帶時效的緩存來保存訪問令牌，但是這樣的負面作用是用戶撤銷授權(quán)后還會有一段時間服務(wù)依然會通過授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)步驟5a：刷新訪問令牌如果應(yīng)用授權(quán)使用刷新令牌，在獲取訪問令牌的時候會同時發(fā)放刷新令牌第三方應(yīng)用在自己的數(shù)據(jù)庫保存刷新令牌在訪問令牌過期前調(diào)用令牌EndPoint獲取新的訪問令牌和刷新令牌Tips: 啟用刷新令牌相當于用戶在第三方應(yīng)用長期登錄，第三方應(yīng)用可以在任何時候以資源擁有

9、者的授權(quán)憑證進行資源訪問授權(quán)碼授權(quán)(WEB服務(wù)器授權(quán)流程)適用場景第三方應(yīng)用是Web服務(wù)器需要長時間訪問資源API 比較重要，避免訪問令牌經(jīng)過瀏覽器，減少泄漏可能Tips: 啟用刷新令牌相當于用戶在第三方應(yīng)用長期登錄，第三方應(yīng)用可以在任何時候以資源擁有者的授權(quán)憑證進行資源訪問插播：恒生辦公開放平臺(預研版)恒生辦公開放平臺(預研)目的全員參與共建自動化辦公，提升工作效率挖掘公司信息資產(chǎn)，提升資產(chǎn)利用程度打通各子系統(tǒng)孤島，提供整體辦公方案為恒生金融云運營積累技術(shù)經(jīng)驗恒生辦公開放平臺(預研)功能授權(quán)服務(wù)器恒生域認證授權(quán)授權(quán)碼授權(quán)隱式授權(quán)客戶端授權(quán)恒生辦公開放平臺(預研)功能授權(quán)服務(wù)器資源服務(wù)通訊錄

10、服務(wù)股票資訊恒生之家客房預定（測試）恒生辦公開放平臺(預研)功能授權(quán)服務(wù)器資源服務(wù)管理控制臺注冊開發(fā)者管理對應(yīng)用的授權(quán)注冊和審批應(yīng)用隱式授權(quán)授權(quán)客戶端WEB應(yīng)用授權(quán)流程隱式授權(quán)(客戶端應(yīng)用授權(quán))適用場景只是需要臨時訪問保護資源第三方應(yīng)用(客戶端)運行在瀏覽器上(JavaScript, Flash )第三方應(yīng)用和瀏覽器是高可信的例子：照片查看應(yīng)用需要訪問他的聯(lián)系方式照片查看應(yīng)用提示用戶需要授權(quán)用戶確認后到授權(quán)服務(wù)器授權(quán)通過后直接回到照片應(yīng)用認證授權(quán)步驟提示用戶需要授權(quán)，同意后到授權(quán)服務(wù)器授權(quán)從URL解析訪問令牌訪問保護資源隱式授權(quán)(客戶端應(yīng)用授權(quán))步驟1：提示用戶需要授權(quán)并轉(zhuǎn)發(fā)到授權(quán)服務(wù)器一般需

11、要先提示用戶后續(xù)操作需要授權(quán)重定向到授權(quán)EndPoint隱式授權(quán)(客戶端應(yīng)用授權(quán))步驟2：解析訪問令牌授權(quán)通過后授權(quán)服務(wù)器會將令牌信息附加到回調(diào)URL上返回步驟3: 訪問保護資源將訪問令牌附加到請求URL的安全頭Header 或者參數(shù)(如果不支持Header)隱式授權(quán)(客戶端應(yīng)用授權(quán))與授權(quán)碼方式區(qū)別不使用二次交換，直接發(fā)放訪問令牌訪問令牌在瀏覽器傳輸，安全性較低未安全考慮，不提供刷新令牌密碼憑證授權(quán)資源擁有者密碼憑證授權(quán)流程密碼憑證授權(quán)資源擁有者密碼憑證授權(quán)流程密碼憑證授權(quán)第三方應(yīng)用直接拿用戶ID和密碼交換訪問令牌和刷新令牌步驟要求用戶提供ID和密碼用密碼憑證到授權(quán)服務(wù)器換取訪問令牌訪問授權(quán)服務(wù)刷新訪問令牌密碼憑證授權(quán)步驟1: 提示用戶輸入ID和密碼步驟2：用密碼憑證到授權(quán)服務(wù)器換取訪問令牌訪問授權(quán)服務(wù)刷新訪問令牌密碼憑證授權(quán)適用場景僅限官方應(yīng)用刷新令牌要慎用，等同于在第三方應(yīng)用保