2. 程式人生 > >建立自己的OAuth2.0服務端(一)

建立自己的OAuth2.0服務端(一)

阿新 發佈:2019-01-03
原文: 建立自己的OAuth2.0服務端(一)

 

如果對OAuth2.0有任何的疑問,請先熟悉OAuth2.0基礎的文章:http://www.cnblogs.com/alunchen/p/6956016.html

1. 前言

本篇文章時對 客戶端的授權模式-授權碼模式 的建立,當然你理解的最複雜的模式之後,其他模式都是在授權碼模式上面做一些小改動即可。對於授權碼模式有任何的疑問,請看上面提到的文章。

注意:本文是建立OAuth的Server端,不是Client請求端。

 

2. 開始授權碼模式的概念、流程

第2點其實就是複製了上一篇文章,為了提高閱讀性,讀過上一篇文章的可略過第2點。

授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。

流程圖:

image

圖說明:

  (A)使用者訪問客戶端,後者將前者導向認證伺服器。

  (B)使用者選擇是否給予客戶端授權。

  (C)假設使用者給予授權,認證伺服器將使用者導向客戶端事先指定的"重定向URI"(redirection URI),同時附上一個授權碼。

  (D)客戶端收到授權碼,附上早先的"重定向URI",向認證伺服器申請令牌。這一步是在客戶端的後臺的伺服器上完成的,對使用者不可見。

  (E)認證伺服器核對了授權碼和重定向URI,確認無誤後,向客戶端傳送訪問令牌(access token)和更新令牌(refresh token)。

下面是上面這些步驟所需要的引數。

A步驟中,客戶端申請認證的URI,包含以下引數:

  • response_type:表示授權型別,必選項,此處的值固定為"code"
  • client_id:表示客戶端的ID,必選項
  • redirect_uri:表示重定向URI,可選項
  • scope:表示申請的許可權範圍,可選項
  • state:表示客戶端的當前狀態,可以指定任意值,認證伺服器會原封不動地返回這個值。

例子:

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

C步驟中,伺服器迴應客戶端的URI,包含以下引數:

  • code:表示授權碼,必選項。該碼的有效期應該很短,通常設為10分鐘,客戶端只能使用該碼一次,否則會被授權伺服器拒絕。該碼與客戶端ID和重定向URI,是一一對應關係。
  • state:如果客戶端的請求中包含這個引數,認證伺服器的迴應也必須一模一樣包含這個引數。

例子:

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz

D步驟中,客戶端向認證伺服器申請令牌的HTTP請求,包含以下引數:

  • grant_type:表示使用的授權模式,必選項,此處的值固定為"authorization_code"。
  • code:表示上一步獲得的授權碼,必選項。
  • redirect_uri:表示重定向URI,必選項,且必須與A步驟中的該引數值保持一致。
  • client_id:表示客戶端ID,必選項。

例子:

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步驟中,認證伺服器傳送的HTTP回覆,包含以下引數:

  • access_token:表示訪問令牌,必選項。
  • token_type:表示令牌型別,該值大小寫不敏感,必選項,可以是bearer型別或mac型別。
  • expires_in:表示過期時間,單位為秒。如果省略該引數,必須其他方式設定過期時間。
  • refresh_token:表示更新令牌,用來獲取下一次的訪問令牌,可選項。
  • scope:表示許可權範圍,如果與客戶端申請的範圍一致,此項可省略。

例子:

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

從上面程式碼可以看到,相關引數使用JSON格式傳送(Content-Type: application/json)。此外,HTTP頭資訊中明確指定不得快取。

 

3. 開始寫自己的OAuth2.0服務端程式碼(C#)

如果有錯誤的地方,歡迎指正,作者也不保證完全正確。

這裡介紹的是C#,當然你可以用你自己的語言寫,大同小異。(沒用到第三方關於OAuth2.0的框架)

作者在開始理解OAuth2.0的概念時,化了一段比較長的時間。從微信授權開始接觸OAuth2.0的概念,後來寫了一套第三方微信授權的小程式,慢慢消化OAuth2.0。

說實在的,OAuth2.0安全在於,提供了code、access_token,來繫結我們的使用者資訊。並且code、access_token有過期的時間。所以,關鍵在於理解code與access_token的作用。

開始程式碼,我們建立一個MVC的程式,這裡叫做MyOAuth2Server。

 

3.1開始授權驗證

第一步,開始授權驗證,並且跳轉到指定的授權頁面。

先上程式碼,然後再分析:

        /// <summary>
        /// 第一步,開始授權驗證
         /// 指定到使用者授權的頁面
         /// </summary>
        /// <param name="client_id"></param>
        /// <param name="response_type"></param>
        /// <param name="redirect_uri"></param>
        /// <param name="state"></param>
        /// <param name="scope"></param>
        /// <returns></returns>
        public ActionResult Authorize(string client_id, string response_type, string redirect_uri, string scope, string state = "")
        {
            if ("code".Equals(response_type))
            {
                //判斷client_id是否可用
                if (!_oAuth2ServerServices.IsClientIdValied(client_id))
                    return this.Json("client_id 無效", JsonRequestBehavior.AllowGet);

                //儲存使用者請求的所有資訊到指定容器(session)
                   Session.Add("client_id", client_id);
                Session.Add("response_type", response_type);
                Session.Add("redirect_uri", redirect_uri);
                Session.Add("state", state);
                Session.Add("scope", scope);
                //重定向到使用者授權頁面(當然你可以自定義自己的頁面)
                return View("Authorize");
            }
            return View("Error");
        }

客戶端會授權會請求我們授權驗證方法,

     首先,驗證client_id是否可用,這裡的client_id是為了保證安全性,確保請求端是服務端給予請求或者授權的權利。簡單地說,就是請求端在用此服務端之前要申請唯一的一個client_id;

     然後,在把客戶端傳過來的資訊儲存在Session(你也可以儲存在其他地方);

     最後,跳轉到使用者操作的,是否給予授權的頁面(可以是點選一個確定授權的按鈕,類似於微信授權。也可以是輸入使用者名稱&密碼等的頁面)。

下面我們看一下 return View("Authorize"); 這句程式碼所返回給使用者許可的頁面:

@{
    Layout = null;
}
<!DOCTYPE html>
<html>
<head>
    <meta name="viewport" content="width=device-width" />
    <title>授權驗證</title>
</head>
<body>
    <div>
        你確定給使用者授權嗎?
        <form action="/OAuth2Server/Authenticate" method="post" id="login_form">
            <br /><br />
            <table class="form_field">
                <tr>
                    <td class="right">
                        User:
                    </td>
                    <td>
                        <input type="text" name="user" id="user" style="width: 12em;">
                    </td>
                </tr>
                <tr>
                    <td class="right">
                        Password:
                    </td>
                    <td>
                        <input type="password" name="password" id="password" style="width: 12em;">
                    </td>
                </tr>
                <tr></tr>
            </table>
            <div class="action">
                <input type="submit" value="授權" />
            </div>
            <br />
        </form>
    </div>
</body>
</html>

從上面可以看到,使用者確定授權後會提交資訊到Authenticate方法,下面我們看看Authenticate到底是做了什麼。

 

3.2驗證並返回code到請求端

我們這裡是使用者名稱與密碼驗證,當然你也可以用其他驗證。(比如使用者點選一個授權允許的按鈕就可以了)

     首先,在OAuth2.0服務端上驗證使用者輸入的使用者名稱與密碼是否正確;

     然後,生成code,並且設定code的生存時間,預設是30秒。(code只能用一次,之後要刪除);

     再繫結code與使用者資訊(使用者唯一鍵);

     最後,重定向回redirect_uri請求的地址,並且返回code與state。(state是請求端那邊想要用於處理一些業務邏輯所用到的,當然可以為空)

上程式碼

        /// <summary>
        /// 第二步,使用者確認授權後的操作。
         /// 使用者確認授權後,則返回code、access_token,並重定向到redirect_uri所指定的頁面
         /// </summary>
        /// <returns></returns>
        public ActionResult Authenticate()
        {
            var username = Request["user"] ?? "";
            var password = Request["password"] ?? "";

            //取得重定向的資訊
            var redirect_uri = Session["redirect_uri"] ?? "";
            var state = Session["state"] ?? "";
            string code = TokenCodeUtil.GetCode();

            //驗證使用者名稱密碼
            if (!_oAuth2ServerServices.IsUserValied(username, password))
                return this.Json("使用者名稱或密碼不正確", JsonRequestBehavior.AllowGet);

            //儲存code到DB/Redis,預設存在30秒
            _oAuth2ServerServices.SaveCode(code);
            //繫結code與userid,因為後面查詢使用者資訊的時候要用到,預設存在30秒
            _oAuth2ServerServices.BingCodeAndUser(username, code);
            //重定向
            string url = string.Format(HttpUtility.UrlDecode(redirect_uri.ToString()) + "?code={0}&state={1}", code, state);
            Response.Redirect(url);

            return null;
        }

上面,已經完成了code的使命,並且返回到了請求端。

下面,我們來看看怎麼獲取token。

 

3.3獲取token

在請求端獲取到code之後,請求端要獲取token,因為獲取了token請求端才能獲取到使用者資訊等資料。

     首先,把token設定成不能保持cache的狀態,為了保證安全性;

     然後,判斷是獲取token還是重新整理token的狀態;

     再驗證code是否過期,驗證client_id、client_secret是否正確;

     再生成token,把token存入容器(DB、Redis、Memory等)中;

     在通過code來獲取使用者的資訊,把使用者資訊(主鍵)與token做繫結;

     最後,把code刪除(code只能用一次,如果想再獲取token只能第一步開始重新做),返回token。

上程式碼:

        /// <summary>
        /// 獲取或重新整理token。
         /// token可能儲存在DB/Redis等
         /// </summary>
        /// <param name="code"></param>
        /// <param name="grant_type"></param>
        /// <param name="client_id"></param>
        /// <param name="client_secret"></param>
        /// <returns></returns>
        public ActionResult GetToken(string code, string grant_type, string client_id, string client_secret)
        {
            Response.ContentType = "application/json";
            Response.AddHeader("Cache-Control", "no-store");

            //獲取token
            if (grant_type == "authorization_code")
            {
                //判斷code是否過期
                if (!_oAuth2ServerServices.IsCodeValied(code, DateTime.Now))
                    return this.Json("code 過期", JsonRequestBehavior.AllowGet);
                //判斷client_id與client_secret是否正確
                if (!_oAuth2ServerServices.IsClientValied(client_id, client_secret))
                    return this.Json("client_id、client_secret不正確", JsonRequestBehavior.AllowGet);
                //新建token
                string access_token = TokenCodeUtil.GetToken();
                //儲存token,預設是30分鐘
                _oAuth2ServerServices.SaveToken(access_token);
                //通過code獲取userid,然後用token與userid做繫結,最後把code設定成消失(刪除)
                string userId = _oAuth2ServerServices.GetUserIdFromCode(code);
                if (string.IsNullOrEmpty(userId))
                    return this.Json("code過期", JsonRequestBehavior.AllowGet);
                _oAuth2ServerServices.BingTokenAndUserId(access_token, userId);
                _oAuth2ServerServices.RemoveCode(code);

                //返回token
                return this.Json(access_token, JsonRequestBehavior.AllowGet);
            }
            //重新整理token
            else if (grant_type == "refresh_token")
            {
                //新建token
                string new_access_token = TokenCodeUtil.GetToken();
                //替換儲存新的token,預設是30分鐘

                //返回新建的token
                return this.Json(new_access_token, JsonRequestBehavior.AllowGet);
            }
            return this.Json("error grant_type=" + grant_type, JsonRequestBehavior.AllowGet);
        }

 

3.4通過token獲取使用者資訊

上面請求端已經獲取到了token,所以這裡只需要驗證token,token驗證通過就直接返回使用者資訊。

驗證token包括驗證是否存在、驗證是否過期。

        /// <summary>
        /// 通過token獲取使用者資訊
        /// </summary>
        /// <param name="oauth_token"></param>
        /// <returns></returns>
        public ActionResult UserInfo(string oauth_token)
        {
            if(!_oAuth2ServerServices.IsTokenValied(oauth_token, DateTime.Now))
                return this.Json("oauth_token無效", JsonRequestBehavior.AllowGet);
            UserInfo u = _oAuth2ServerServices.GetUserInfoFromToken(oauth_token);
            return this.Json(u, JsonRequestBehavior.AllowGet);
        }

 

4. 結語

到此,我們寫OAuth2.0服務端的程式碼已經結束了。

附上原始碼:https://github.com/cjt321/MyOAuth2Server

下一篇將介紹請求端怎麼請求我們的服務端,來測試流程、程式碼是否正確:http://www.cnblogs.com/alunchen/p/6957785.html

 

可以關注本人的公眾號,多年經驗的原創文章共享給大家。

相關推薦

建立自己OAuth2.0服務

原文: 建立自己的OAuth2.0服務端(一)   如果對OAuth2.0有任何的疑問,請先熟悉OAuth2.0基礎的文章:http://www.cnblogs.com/alunchen/p/6956016.html 1. 前言 本篇文章時對 客戶端的授權模式-授權碼模式 的建立

寫個OAuth2.0的請求來測試自己OAuth2.0服務

邏輯 mat ace png urn img rest avi round 在上一篇文章中,我們介紹了怎麽創建自己的服務器,現在我們開始寫個client端,來測試。 我們創建一個MVC項目,叫TestOAuthClient 1. 代碼開始 1)第一步,我們創建一個Mai

docker下編譯mangoszero WOW60級服務

搭建過程 數據庫更新 朋友 自動啟動 log 鏡像 穩定 compose 一份 這幾天看到暴雪準備開放懷舊服的新聞,突然想到幾年前用大芒果window一鍵服務端自己搭建過服務,就想著在Linux環境下重新編譯一套,畢竟Linux作為服務端,性能和穩定性都會高一些,於是在ma

iOS-建立自己的Signal工具類

下載DEMO 最近看一些招聘資訊的時候,盡然有人提到熟悉ReactiveCocoa。並且還是所謂的加分項。對於這個工具,熟練使用就好。一般工程不建議使用。 個人暫時覺得有一下幾點:(以後待補充–不喜歡就別噴) 1:工具包太大 2:出問題了,除錯非

使用php開發簡單的線上直播服務-前期準備writing...2016-12-29更新

本次開發兩個版本,分別為使用swoole拓展和不使用swoole拓展。只是一個個人能力鍛鍊的娛樂小專案O(∩_∩)O~。 技術配置 Mac OS系統 PHP7.1 swoole拓展(非必需) nginx-rtmp mongodb Video.j

使用NewLife網絡庫構建可靠的自動售貨機Socket服務

stat error 包含 ndis sum 自動 pre tar 產品 最近有個基於tcp socket 協議和設備交互需求,想到了新生命團隊的各種組件,所以決定用NewLife網絡庫作為服務端來完成一系列的信息交互. 第一,首先說一下我們需要實現的功能需求吧

Swift3.0服務開發() 完整示例概述及Perfect環境搭建與配置服務+iOS

本篇部落格算是一個開頭,接下來會持續更新使用Swift3.0開發服務端相關的部落格。當然,我們使用目前使用Swift開發服務端較為成熟的框架Perfect來實現。Perfect框架是加拿大一個創業團隊開發的,目前是Perfect2.0版本,關於Perfect框架,下方會詳細的介紹。本篇部落格會演示一個完整的D

Dubbo/Dubbox的服務消費- 服務代理的建立

dubbo的consumer的初始過程 一個常見的consumer配置是這樣的 <dubbo:reference id="dubboDemo" interface="com.company.dsp.adcenter.protocol.dubbo.D

webservice快速入門-使用JAX-WS註解的方式快速搭建ws服務和客戶

WEBSERVICE快速入門的示例: 首先定義介面: package com.whaty.platform.ws.server; import javax.jws.WebService; /** * @className:IMyservice.java * @De

實現OAuth2.0服務【授權碼模式(Authorization Code)】

實現主要涉及引數配置如下:  授權碼設定(code)  第三方通過code進行獲取 access_token的時候需要用到,code的超時時間為10分鐘,一個code只能成功換取一次access_token即失效。  授權作用域(scope)  作用域代表使用者授權給第三方的介面許可權,第三方應用需要

Android6.0 顯示系統 Surface建立

之前在分析Activity的時候,我們分析過Surface建立。這個系列的部落格是講述顯示系統,這裡再系統的分析下Surface建立過程。 之前我們分析在Activity在呼叫attach方法時,建立ViewRootImpl,以及建立其Surface過程,還有在WMS中建立

tomcat啟動慢?自己動手打造輕量web服務

http協議 127.0.0.1 hello src java.net cat start 輸入 val 廢話少說,直接上代碼。 編程語言:kotlin import java.net.ServerSocketimport java.net.Socketfun main(

thphp5.0學習筆記

mic tel 序號 app clas world char p s 庫類 1.目錄結構: 其中thinkphp子目錄是框架核心目錄 thinkphp結構: 2.入口文件 默認自帶的入口文件位於public/index.php 應用目錄為application,其結構

讓我們把KBEngine玩壞吧!如何定制我們自己的C++函數

data ase erro glob alt ins sin 程序 all 為什麽不更新kbe warring的代碼解讀了,因為在我看來那個demo講完了實體就沒東西可講了,如果專心的看官方文檔和PPT的話demo的代碼後面沒任何難點了已經,單純的復制黏貼代碼實在太過無聊。

vue2.0單元測試

.com str images alt 需求 org 封裝 min 測試 1.在vue init webpack XXX創建項目的時候 最後2步選擇YES就啟動了vue單元測試開始了 2.測試是使用karma+mocha框架來實現的方法,安裝虛擬瀏覽器模塊Phanto

H5集成支付寶App支付客戶+服務java

XML 服務端 onf response 成功 code default format sim 由於最近項目需要接入第三方開發,支付寶支付,微信支付,OSS圖片上傳以及短信服務。為避免第一次開發支付寶再次花時間查看文檔,今天總結一下接入支付寶的過程,以及接入過程中遇到的問題

SpringCloud微服務簡介

一起 轉發 例如 sset 雲服務 心跳檢測 因此 靈活性 dubbo Spring Cloud簡單認識  微服務英文名稱Microservice,Microservice架構模式就是將整個Web應用組織為一系列小的Web服務。這些小的Web服務可以獨立地編譯及

自動化服務部署:Linux下安裝JDK

evel pos 的人 lis jdk安裝 參考 8.0 根據 如何 自動化測試的主要目的是為了執行回歸測試。當然,為了模擬真實的用戶操作,一般都是在UAT或者生產環境進行回歸測試。 為了盡量避免內網和外網解析對測試結果的影響,一般將自動化測試服務部署在外網的服務器是比較

Squid代理服務

Squid 代理服務器 搭建代理傳統squid代理服器 1、實驗拓撲:2、實驗步驟1)在服務器B上安裝Squid代理服務器軟件(掛載光盤,解壓縮)2)編譯安裝完成後執行make

Spring Cloud 入門Eureka -Consumer服務消費

ppi package AR con .so 1.8 Coding ng- int 這裏介紹:LoadBalancerClient接口,它是一個負載均衡客戶端的抽象定義,下面我們就看看如何使用Spring Cloud提供的負載均衡器客戶端接口來實現服務的消費。 引用之前的文