OAuth 2.0 授权框架
概要
OAuth 2.0授权框架使得第三方应用获得有限的http服务,也代表了用户(资源拥有者)通过策划一个批准通信在用户和http服务之间,或者运行第三方应用代表自身获得权限。这个说明文档取代了在RFC 5849描述的过时的OAuth 1.0协议。
这份备忘录的地位
这是一个互联网标准跟踪文档。
这份文档是IETF(Internet Engineering Task Force:互联网工程任务小组)的作品。代表了IETF团队的一致意见。接受了公共的审查并且被IESG(Internet Engineering Steering Group:互联网工程指导小组)批准发布。互联网标准更加详细信息可在Section 2 of RFC 5741获取。
第一章:介绍
在传统的client—server认证模型中,client在server端使用resource owner 的证书认证然后请求protected resource。为了使得第三方应用能访问protected resource,resource owner 和第三方分享了它的证书,但是这也产生了一些弊端:
1.第三方应用被要求存储resource owner 的证书以便将来使用,(证书)通常是明文密码。
2.服务器被要求不顾在密码方面的固有的安全缺陷,而去支持密码授权。
3.第三方应用获得过多的用户权限,使得resource owner 无法限制时长(证书有效时间)或访问一个被限制的资源子集。
4.resource owner 没办法撤销对某一个应用的访问权限必须通过改变用户账号的密码才能实现,但这样也会撤销对其他应用的访问权限。(大概的意思是第三方账号和密码对于所有的第三方应用都是通用的,不可能只限制某一个应用)
5.任何一个第三方应用被破解,用户密码以及相关的数据都会泄露。
OAuth 2.0 通过引入授权层和把客户端角色从用户中分离出来解决这个问题。在OAuth 2.0中,client请求访问被source owner控制、寄管在resource server上的资源。并且本分配了一系列不同的证书。
代替使用resource owner的证书访问protected resources,client获取一个access token(任务令牌)——一个指明了特定的范围,生命周期和其他的访问属性的字符串。access token是经resource owner同意,由authorization server分配给第三方client的。client使用access token访问被resource server 托管的资源。
例如,一个终端用户(resource owner)可以授权一个printing service(client)访问存于photo sharing service(resource server)上的protected photo,而不用把他的用户名和密码告诉printing service。相反,他可以通过一个被photo sharing service(authorization server)信任的server直接认证,server 给printing service分配一个特定授权证书(access token)。
这份文档是为使用HTTP设计的。([RFC2616]).OAuth 协议的使用暂不支持HTTP协议之外的其他协议。
OAuth 1.0协议,被作为一份报告文档发布,是一个小且特殊的团队努力的结果。这份标准追踪说明文档是建立在OAuth 1.0部署的经验以及额外的使用案例和源于更广泛的IETF(Internet Engineering Task Force:互联网工程任务小组)扩展性要求。
OAuth 2.0协议并不向后兼容OAuth 1.0协议。这两个版本共存于互联网上,而且实现可能会选择二者都支持。然而,这篇文档意在表明新的实现支持OAuth 2.0,而OAuth 1.0仅支持已经存在的实现上。OAuth 2.0和OAuth 1.0在具体的实现细节上只有很少是相同的。熟悉OAuth 1.0实现的用户无须设想OAuth 2.0是其结构和细节。