在OAuth协议中我介绍了四种授权模式,其中特别常见、特别主流、特别安全的一种授权模式,就是授权码模式(authorization code),下面我来详细介绍一下这种授权模式。
一、授权码模式简介
授权码模式是四种授权模式中功能最完整、流程最严密的一种授权模式,不管是微信也好、微博也好,几乎所有的互联网提供商都是采用这种方式来完成授权的。
二、授权码模式授权步骤
授权码模式授权步骤
- 用户访问第三方客户端,如果第三方应用需要用户授权,它会将用户导向认证服务器上。用户同意授权的这个动作会在认证服务器上来完成,如果用户同意授权,那么认证服务器会将用户重新引导到第三方应用上去,那么导回去的时候会导入到第三方应用的哪里呢?一般会指向到一个url上去,这个url是第三方应用client和服务提供商事先商量好的。
- 当认证服务器将用户导入第三方应用的url上去时,会携带一个授权码(这个授权码并不是第三方应用需要的那个令牌(Token))。
- 第三方应用在受到这个授权码之后,会拿着这个授权码向认证服务器上申请令牌,(注意:这一步是在client的服务器后台去完成的,对用户是不可见的)。
- 然后认证服务器会核对第三步给的那个授权码是不是之前给client发过去的,如果确认无误,那么会像client发送令牌(Token)。
三、授权码模式特点
在整个过程中,我们了解到,就是因为在授权的时候会产生一个授权码,因此这个方式就叫做授权码模式。这种模式主要有两个特点:
1.用户同意授权的动作是在认证服务器上去完成的。
相比其它三种授权模式,密码模式和客户端模式,同意授权的动作是在第三方应用上去完成的,授权之后,client去向认证服务器申请令牌的时候带着一些信息(用户同意client授权)。但是认证服务器是没办法确定用户是不是真的授权了,有可能这个授权信息是第三方应用自己伪造的。
而在授权码模式中,“同意授权”这个动作是在认证服务器上去完成的,所以认证服务器可以明确的知道用户确实同意了授权。
2.client换取令牌的方式
client在整个申请token的过程中向认证服务器进行了两个请求,第一个是拿到授权码,第二次请求是拿着授权码去换取token。也就是说在这个模式下面要求第三方应用必须要有一个服务器,并不是直接返回到浏览器上,安全性会更高。
就是因为这两个特点,造就了授权码模式是功能最完整,也是现今第三方应用服务商最常用的授权模式。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
