Oauth2.0详解,Oauth2.0协议原理

角色:

1. RO (resource owner): 资源所有者，对资源具有授权能力的人,通常比喻为用户
2. RS (resource server): 资源服务器，存储资源、并处理对资源的访问请求
3. Client:第三方应用，它通过RO确认后,获得RO的授权后便可以去访问RS上的RO对应资源
4. AS (authorization server): 授权服务器，它认证RO的身份，为RO提供授权审批流程并最终颁发授权令牌(Access Token)。

PS:通常和RS放到一起

授权模式:

前言:在一般的授权流程中，Client第三方应用可能是一个web程序，也有可能是一段命令行代码。或者其他一些脚本，为了保护其安全性。关于用户的一些秘钥，可以选择不给用户(RO)暴露。但对于第三方应用，还是可以访问到用户的数据。

支持这些不同类型的Client，区分除了多种授权模式。

1. 授权码 (Authorization Code Grant)
2. 隐式授权 (Implicit Grant)
3. RO凭证授权 (Resource Owner Password Credentials Grant)
4. Client凭证授权 (Client Credentials Grant)

授权码模式 (Authorization Code Grant):

典型的web流程:

1. 第三方应用程序(Client)，将用户(RO)当前页面重定向到授权服务器(AS)，在用户确认授权或取消授权后，重定向回一个由第三方web应用程序制定的url。
2. 授权服务器(AS)验证用户(通过http头)，并确定用户是否允许第三方应用程序访问用户资源(RS)
3. 如果用户确认授权第三方应用程序，授权服务器(AS)，将会重定向到由第一步第三方应用程序设定的一个url，并返回一个授权码(就是个临时认证字符串)。
4. 第三方应用程序通过验证并传入由上一步获取的授权码参数再去授权服务器上验证并获取一个令牌。

隐式授权模式 (Implicit Grant):

1. 用户访问第三方应用程序时(client)，第三方应用将用户重定向到授权服务器(AS)。
2. 授权服务器(AS)生成一个页面,来提供给用户是否授权
3. 如果用户授权，授权服务器(AS)向第三方应用页面返回令牌
4. 第三方应用获取到上一步返回的令牌，去资源服务器获取用户的资源(前提是令牌没问题)

密码模式 (Resource Owner Password Credentials Grant):

简单来说就是把密码托管给第三方应用，所以在这里。我们要确保第三方应用的高度可信任

1. 用户(RO)向第三方应用程序(client)提供账号密码。
2. 第三方应用程序获取到上一步的账号和密码，向授权服务器发送请求
3. 授权服务器认证账号密码正确后，再向第三方应用程序提供一个令牌

Client凭证授权 (Client Credentials Grant):

这种是最不安全的一种模式，过程并不需要用户去参与，完全就是第三方应用程序与授权服务器的交流

1. 用户(RO)访问第三方应用程序
2. 第三方应用程序通过自定义的验证方式，拿到令牌。无需通过用户去认证
3. 访问资源服务器(RS)