通过实例理解OAuth2授权
在之前的《通过实例理解Go Web身份认证的几种方式[1]》和《通过实例理解Web应用授权的几种方式[2]》两篇文章中,我们对Web应用身份认证(AuthN)和授权(AuthZ)的几种方式做了介绍并配以实例增强理解。
在现实世界中,还有一大类的认证与授权是在前面的文章中没有作为重点介绍的,那就是OAuth2授权[3]与基于OAuth2之上的OpenID身份认证(OIDC, OpenID Connect)[4]。
近期接触到开放平台(Open Platform)的设计和开发,整个开放平台的授权流程都是基于OAuth2打造的,因此在这篇文章中,我就来先来通过实例详细说说OAuth2,OIDC将放在后面的文章中说明。
1. OAuth是什么
OAuth中的O代表了Open,OAuth直译过来就是开放授权。OAuth是一个开放标准[5],允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表等),而无需将用户名和密码提供给第三方应用。
OAuth不是什么新技术了,其原型最早可追溯至2006年末,至今也快小20年了。但直到2010年4月,OAuth 1.0协议才以RFC 5849的形式正式发布[6]。不过OAuth 1.0版本存在两个主要问题,一是当初设计时仅是为了web浏览器应用,随着应用类型的增多,一套授权机制难以应对现实中的所有场景,比如:Web应用场景、移动App应用场景、官方应用场景等,因为这些场景不是完全相同的,这给使用者带去很多负面体验;二是一些安全性的问题(这里就不展开了)。
2012年10月,解决OAuth 1.0上述问题的OAuth 2.0以RFC 6749发布[7]。OAuth 2.0是OAuth协议的下一版本,但不向后兼容OAuth 1.0。OAuth 2.0关注客户端开发者的简易性,同时为Web应用、桌面应用、手机和智能设备定义了专门的授权许可流程,包括:授权码许可机制(Authorization Code)、客户端凭据机制(Client Credentials)、资源拥有者凭据机制(Resource Owner Password Credentials)和隐式许可机制(Implicit)。如今OAuth 1.0已经被废弃,谈到OAuth如无特殊说明,指的都是OAuth2.0版本。
在OAuth2.0的四种授权类型中,最安全的、最广泛使用的也是最常见的就是授权码许可机制(Authorization Code)了。本文后续的说明与示例也都是围绕授权码这种类型的。
2. OAuth2解决了什么问题
仅仅凭借上面关于OAuth的描述,你可能依然无法对OAuth有一个直观和深刻的理解,笔者第一次接触OAuth协议时也是花了不少时间才逐渐“茅塞顿开”,当然本文参考资料中的那些书籍和资料“功不可没”,尤其是OAuth 2.0的RFC协议规范[8]。
那么OAuth到底解决的是什么问题?这里我们就用一个非常典型的示例来系统说说一下。
2.1 传统的云盘系统
现在有一个像百度网盘那样的云盘系统(my-yunpan.com),用户可以注册云盘系统的账号,然后将自己的个人数据文件,比如照片、音视频、文档等上传到云盘上保存。
假设这里有一个名为tonybai的用户注册了云盘,并将个人的一些照片文件上传到云盘上做保存和备份:
这是一个我们都可以理解的场景,用户注册云盘账号,然后登录云盘应用后将个人照片上传到云盘,这里使用的身份认证和授权技术方案没有超出《通过实例理解Go Web身份认证的几种方式[9]》和《通过实例理解Web应用授权的几种方式[10]》两篇文章的范畴。
针对这个场景,OAuth定义了三个很容易理解的概念实体:
Resource Server:集中存储资源(如用户照片等)的服务,这个示例里就是云盘服务;
Resource owner:资源的拥有者,这里就是云盘的用户,比如图中的tonybai;
Protected Resource:Resource owner上传并存储在Resource Server中的Resource,受Resource Server保护,这里对应的就是用户上传的照片。
大家先对这三个概念实体有个感性的认识即可,后续备用。
2.2 第三方的照片冲印服务
智能手机时代,数字照片(Digital Photo)将传统的基于胶卷的照片彻底拉下神坛。数字照片是存储在磁盘、手机中或云盘上的,但依然有很多人有将数字照片像传统照片那样冲印出来放在相册里或房间照片墙上欣赏的需求,于是就有了在线照片冲印服务(my-photo-print.com)。
用户注册在线照片冲印服务后,将自己的数字照片上传,交钱冲印即可,冲印好的照片便会经由快递送至用户家中,非常方便。
2.3 Resource Owner要冲印照片
有一天,云盘用户tonybai要挑选一些近期存储在云盘中的照片进行冲印,他搜索到了my-photo-print.com这个第三方的照片冲印服务,但他需要在my-photo-print.com这个应用上重新注册一个账号,再将云盘上的照片下载后重新上传到my-photo-print.com这个服务的空间中才能实现在线冲印。这对于大多数像tonybai这样的用户而言并不是一个很easy的操作,体验上也是糟糕。tonybai在思考:我的照片已经在云盘上了,为什么不可以直接基于云盘上的照片进行冲印呢?
2.4 增加开放平台(open.my-yunpan.com)
在tonybai萌生出这个困惑的同时,云盘的产品经理也同步感知到了这个需求,是时候给云盘系统增加开放平台了!这样,第三方应用便可以接入云盘系统,方便快捷地为云盘用户提供各种扩展服务,比如照片冲印、云上视听、数据智能管理等,这也是互联网界熟知的生态建设的套路。
下面是照片冲印服务my-photo-print.com注册和接入开放平台的示意图:
照片冲印服务my-photo-print.com注册和接入云盘开放平台后,会得到一个client_id和client_secret,这两个字段是照片冲印服务接入云盘开放平台的凭据,即云盘开放平台对第三方应用进行身份认证的凭据。
不过即使照片冲印服务使用client_id和client_secret这个凭据通过了云盘系统的认证,照片冲印服务依然拿不到云盘系统上用户的照片数据,这里需要一个授权过程,即云盘系统用户(如前文提及的tonybai)告诉云盘系统是否允许照片冲印服务访问自己的数据。
那么问题来了!如何实现云盘系统用户对已接入云盘系统的第三方应用的授权呢?下面我们就来探讨一下。
注:这里显然是打了个伏笔,一旦云盘系统建立了开放平台,那么云盘系统的用户对第三方应用的授权流程也就由开放平台规定好了。
2.5 云盘系统用户对第三方应用进行授权的方案
2.5.1 凭据共享方案
一个最简单粗暴的方案就是直接用云盘系统用户的凭据代替用户去云盘系统读取该用户的数据,下面是该方案的示意图:
我们看到:照片打印服务想要获取用户的照片,它首先会提示用户输入其云盘系统上的用户名和密码,然后就会拿着用户的这些凭据合法地进入到该用户在云盘系统中的个人空间并拿到想要的数据。这也意味着用户在云盘系统上可以进行的任何操作,照片打印服务也都有权限进行。此外,一旦用户在多个网站应用上使用的是相同的用户名和密码,那么照片打印服务也可以通过拿到的凭据登录这些网站,并“假扮”用户获得这些网站上的用户数据。这种通过凭据共享来实现第三方应用访问云盘上的用户数据的方案显然是毫无安全底线可言。
2.5.2 专用密码方案
现在你已经看到,共享用户密码并不是一个好方法,那会授予照片打印服务全局的访问权限,它就能代表由它指定的任何用户并访问云盘系统上的所有照片。那是否可以授予照片打印服务一个权限有限的专用密码来实现照片获取呢?此密码仅用于透露给第三方服务,用户自己并不会使用这个密码来登录,只是将它粘贴到所使用的第三方应用里(如下图):
这是一个可行的方案,但这种方案的可用性并不好。它要求用户除了管理自己的主登录密码之外,还要创建(在云盘系统中)、分发(贴到照片打印服务系统中)和管理特殊的凭据。并且,用户管理这些凭据时一般不会区分专用凭据与第三方应用的对应关系,往往是建立一个新专用凭据后,贴到所有第三方应用中使用,这使得撤销某个具体第三方应用的访问权限变得很困难。让用户科学管理这些凭据,本身就给用户带来了心智负担,也可理解为一种不好的体验。
不过,相对于凭据共享方案的不安全,专用密码方案已经是有所进步了,但还远非理想。
2.6 OAuth2授权方案
前面无论是共享凭据还是专用密码方案,都绕开了开放平台,这显然是故意为最终理想方案的出炉做铺垫的 -- 没有差方案,如何才能体现出理想方案的好呢!-- 是时候叫出超级飞侠了!。
这就是我们提到的OAuth2授权方案。OAuth协议的设计目的是:让用户(Resource owner,比如tonybai)通过OAuth协议将他们在受保护资源(Protected Resource,比如照片)上的部分权限委托给第三方应用(比如照片冲印服务),使第三方应用能代表他们执行操作。这个方案既要考虑提升用户的使用体验,也要考虑提升方案整体的安全性。为实现这些,OAuth在流程中引入了另外一个组件:授权服务器(Authorization Server)。
如果我们将第三方应用(比如照片冲印服务)称为client(客户端应用),加上授权服务器(Authorization Server)以及前面提到的三个概念:Resource Server、Resource owner和Protected Resource,我们就有了5个实体。他们究竟是什么关系呢,又是如何交互的呢?这就是OAuth2.0协议的核心内容。下图是来自OAuth2.0 RFC中的抽象协议流程图,为了好理解,我在图中加入了各个实体对应的示例中的名字:
这是一个抽象图,我们无法从中看出各个流程的细节,但大致可以看出OAuth2授权的关键环节:
client(客户端应用,如照片冲印服务)需要用户(Resource owner)的授权,但这个授权过程,用户不会将密码等凭据暴露给client;
client凭借授权信息到授权服务器(Authorization server)换取access token;
client凭借access token访问用户(Resource owner)在Resource Server(比如云盘系统)上的Resource数据(比如照片)。
接下来,我们来看看细节,我们使用OAuth2中最广泛使用的授权码方案(Authorization code)来展示这个流程,下面是来自OAuth2.0 RFC中的授权码方案流程图:
这个流程图依然很抽象,我们用下面的“分解动作”来解释。
2.6.1 用户(Resource Owner)通过浏览器访问第三方应用(Client,my-photo-print.com)
用户要想使用第三方应用,比如my-photo-print.com服务来冲印自己位于云盘上的照片,他首先要访问到这个第三方应用,如下图所示:
用户通过浏览器(User Agent)打开my-photo-print.com服务的登录页面,这个页面除了提供使用用户名/密码登录之外,还提供了“使用云盘账号”的按钮。该用户不想重新注册一遍my-photo-print.com服务的账号,选择了点击“使用云盘账号”按钮。
2.6.2 用户(Resource Owner)被引导到云盘开放平台登录并对第三方应用进行授权
当用户点击“使用云盘账号”按钮后,对第三方应用进行授权过程便正式开始,下面是一个示意图:
OAuth2.0的授权码模式的第一步便是第三方应用(Client)需要将用户(Resource Owner)引导到云盘开放平台(Authorization Server)的登录页面(/oauth/portal),为用户授权做好准备。在图中第三方应用my-photo-print.com通过网页html内重定向让用户的浏览器(User Agent)重定向到云盘开放平台的授权门户页面,在重定向的请求中,Client带上了自己的一些参数(比如client_id、scope等)。
云盘开放平台(Authorization Server)返回一个用户登录页面,用户(tonybai)输入用户名密码以供Authorization Server做身份认证。注意这个过程完全没有client(照片冲印服务)的参与,用户名和密码不会泄露给第三方。
当用户(如tonybai)点击submit提交凭据信息时,可以向服务端请求,也可以像图中简化版那样直接给出授权范围的提示。弹出的框提示“照片冲印服务需要用户授予两个权限”,如果用户点击“授权”,则会向Authorization Server发起授权请求,连同用户的登录凭据一起,授权请求的路径与参数如下(也可以使用表单提交的方式提交授权请求):
/oauth/authorize?response_type=code&client_id=my-photo-print&state=xyz123&scope=user_info,read_photos&redirect_uri=http%3A%2F%2Fmy-phone-print.com%3A8080%2Foauth%2Fcb
response_type=code表示用户向授权平台请求一个授权码,再强调一下:这个授权码是用户(如tonybai)去申请的,而不是client(第三方应用),后续也是由用户将code告知client(第三方应用)。
cilent_id表示为哪个第三方应用申请的,后续授权平台在发access_token时,可以基于该client_id进行校验。
scope是此次授权的权限列表。
redirect_uri是一个重定向地址,这个地址可以在请求中传递,如果不传递,也可以在client注册开放平台账号时,提供给开放平台(Authorization Server)。
state是一个随机数,OAuth 2.0官方建议使用state以避免CSRF攻击。
2.6.3 用户提供code,client用code换取access_token并读取用户数据
如果Authorization Server通过了用户的请求,便会在应答中带上这次分配给用户的授权码(code),这个授权码是一次性的,一旦使用便会作废,当然Code也会有时效性,一般就是几分钟。
我们继续看下面图示的分解动作吧:
首先,Authorization Server对用户的请求校验通过后,便会分配授权码,并通过下面这个应答返回给用户(浏览器):
HTTP/1.1 302 Found
Location: http://my-phone-print.com:8080/oauth/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz123
用户的浏览器收到这个应答后便会重定向到Location这个地址,这个过程其实是在模拟用户向Client(照片冲印服务)提供code的行为。
当Client(照片冲印服务)收到收到用户的code后,它会立即使用这个Code并结合自己的凭据(client_id和client_secert)向Authorization Server申请access_token:
POST /oauth/token HTTP/1.1
Host: open.my-yunpan.com:8081
Authorization: Basic base64(client_id:client_secret)
Content-Type: application/x-www-form-urlencodedgrant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=http%3A%2F%2Fmy-phone-print.com%3A8080%2Foauth%2Fcb
这是一个client发向Authorization Server的POST请求,请求参数中,除了固定的grant_type=authorization_code以及code之外,还带了redirect_uri,这个redirect_uri是供Authorization Server校验使用的。此外这个请求是以Client身份申请的,所以在http header中带上了client自己的凭据信息:client_id和client_secert,这里使用的是http basic auth。
Authorization Server对请求验证通过后,便会给出Post应答,access_token等信息都放在应答的包体中:
{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"
}
这里除了包含access_token,还包含了它的过期时间(expires_in)以及一个refresh_token,client可以使用refresh_token在access_token过期前换取一个新的access_token。但从安全角度考虑,client不能无限制的换取新token,所以refresh_token也会被过期时间。一旦refresh_token过期了,那么client就要重新发起一次用户授权过程。
当client收到access_token后,便可以拿着这个access_token到Resource Server(这里是my-yunpan.com)去获取用户(tonybai)的个人资料与照片数据了:
POST /photos HTTP/1.1
Host: my-yunpan.com:8082method=listall&access_token=2YotnFZFEjr1zCsicMWpAA
my-yunpan.com验证access_token后,便会将tonybai的照片列表返回给client,然后client会返回重定向应答给用户的浏览器。用户浏览器收到重定向应答后,便会向client(照片冲印服务)的/photos端点发起请求,之后便可以在浏览器上看到自己的照片列表了。用户选择要冲印的照片后,创建订单冲印即可。
从用户提交code给client,到用户浏览器显示照片列表,这中间用户可能会有短暂的等待,毕竟client要与Authorization Server和Resource server进行多次交互,用户浏览器也要进行重定向操作。
现在将“分解动作”与OAuth2.0 RFC中的授权码方案流程图结合在一起看,你将会对OAuth有更深刻的理解。
注:OAuth2授权流程原则上是要建立在HTTPS建立的安全通道之上的,这里仅是示例,我们聚焦的是OAuth2流程,所以将使用HTTP进行展示。
3. 示例的具体实现
下面我们用Go语言编写一个可以简单演示OAuth2.0授权流程的示例,该示例与上面描述的OAuth2的“分解动作”基本是可以对应起来的。
示例由三个服务构成:my-photo-print照片冲印服务、my-yunpan云盘服务以及open-my-yunpan云盘开放平台/授权服务,示例对应的目录结构如下:
$tree -L 1 -F oauth2-examples
oauth2-examples
├── my-photo-print/
├── my-yunpan/
└── open-my-yunpan/
在开始编写服务前,我们需要修改一下本机(MacOS或Linux)的/etc/hosts文件:
127.0.0.1 my-photo-print.com
127.0.0.1 my-yunpan.com
127.0.0.1 open.my-yunpan.com
注:由于示例中较少使用到js,且form action的地址也是同源的,并且通过重定向来跳转,所以基本不涉及到跨域问题[11]。
注:在演示下面步骤前,请先进入到oauth2-examples的各个目录下,通过go run main.go启动各个服务程序(每个程序一个终端窗口)。
3.1 用户使用my-photo-print.com照片冲印服务
按照流程,用户首先通过浏览器打开照片冲印服务的首页:http://my-photo-print.com:8080,如下图:
这个页面是由homeHandler提供的:
// oauth2-examples/my-photo-print/main.go// 照片冲印主页,引导用户去授权平台
func homeHandler(w http.ResponseWriter, r *http.Request) {fmt.Println("homeHandler:", *r)// 渲染首页页面模板var state = randString(6)mu.Lock()stateCache[state] = struct{}{}mu.Unlock()tmpl := template.Must(template.ParseFiles("home.html"))data := map[string]interface{}{"State": state,}tmpl.Execute(w, data)
}
这里我们使用了服务端模板渲染,并将渲染的结果作为应答发给浏览器,home.html模板的内容如下:
// oauth2-examples/my-photo-print/home.html<!DOCTYPE html>
<html>
<head><title>照片冲印服务</title>
</head>
<body><h3>欢迎使用照片冲印服务!</h3><div>用户名: <input name="username"/>密码: <input name="password" type="password"/> <button>登录</button></div><button id="auth-btn">使用云盘账号登录</button><script>var authBtn = document.getElementById('auth-btn');authBtn.addEventListener('click', function() {var clientId = 'my-photo-print'; var scope = 'user_info,read_photos';var state = '{{.State}}';var url = 'http://open.my-yunpan.com:8081/oauth/portal?client_id=' + clientId + '&scope=' + scope+'&state=' + state + '&redirect_uri=http%3A%2F%2Fmy-photo-print.com%3A8080%2Foauth%2Fcb' window.location.href = url;})</script>
</body>
</html>
当用户选择并点击“使用云盘账号登录”时,浏览器将打开云盘开放平台/授权服务的首页(http://open.my-yunpan.com:8081/oauth/portal)。
3.2 使用open.my-yunpan.com进行授权
下面是云盘开放平台/授权服务的首页:
这个页面由open.my-yunpan.com的portalHandler提供:
// oauth2-examples/open-my-yunpan/main.gofunc portalHandler(w http.ResponseWriter, r *http.Request) {fmt.Println("portalHandler:", *r)// 获取请求参数用于渲染应答html页面clientID := r.FormValue("client_id")scopeTxt := r.FormValue("scope")state := r.FormValue("state")redirectURI := r.FormValue("redirect_uri")// 渲染授权页面模板tmpl := template.Must(template.ParseFiles("portal.html"))data := map[string]interface{}{"AppName": clientID,"Scopes": strings.Split(scopeTxt, ","),"ScopeTxt": scopeTxt,"State": state,"RedirectURI": redirectURI,}tmpl.Execute(w, data)
}
和照片冲印服务首页一样,这里同样使用了模板渲染的应答页面,对应的portal.html模板的内容如下:
<!DOCTYPE html>
<html><head><title>云盘授权页面</title></head><body><h3>云盘授权页面</h3><p>应用{{.AppName}}正在请求获取以下权限:<ul>{{range .Scopes}}<li>{{.}}</li>{{end}}</ul></p><form id="authorization-form" method="post" action="/oauth/authorize"><div>用户名:<input name="username" id="username" />密码:<input name="password" id="password" type="password" /><input type="hidden" name="response_type" value="code" /><input type="hidden" name="client_id" value="{{.AppName}}" /><input type="hidden" name="scope" value="{{.ScopeTxt}}" /><input type="hidden" name="state" value="{{.State}}" /><input type="hidden" name="redirect_uri" value="{{.RedirectURI}}" /><button type="submit">授权</button></div></form></body>
</html>
该页面将照片冲印服务要获得的权限以列表形式展示给用户,然后提供了一个表单,用户填写用户名和密码后,点击“授权”,浏览器便会向开放平台授权服务的"/oauth/authorize"发起post请求以获取code,post请求携带了一些form参数,像response_type、client_id、scope、state等。
"/oauth/authorize"端点由authorizeHandler负责处理:
// oauth2-examples/open-my-yunpan/main.gofunc authorizeHandler(w http.ResponseWriter, r *http.Request) {fmt.Println("authorizeHandler:", *r)responsTyp := r.FormValue("response_type")if responsTyp != "code" {w.WriteHeader(http.StatusBadRequest)return}user := r.FormValue("username")password := r.FormValue("password")mu.Lock()v, ok := validUsers[user]if !ok {fmt.Println("not found the user:", user)mu.Unlock()w.WriteHeader(http.StatusNonAuthoritativeInfo)return}mu.Unlock()if v != password {fmt.Println("invalid password")w.WriteHeader(http.StatusNonAuthoritativeInfo)return}clientID := r.FormValue("client_id")scopeTxt := r.FormValue("scope")state := r.FormValue("state")redirectURI := r.FormValue("redirect_uri")code := randString(8)mu.Lock()codeCache[code] = authorizeContext{clientID: clientID,scopeTxt: scopeTxt,state: state,redirectURI: redirectURI,}mu.Unlock()unescapeURI, _ := url.QueryUnescape(redirectURI)redirectURI = fmt.Sprintf("%s?code=%s&state=%s", unescapeURI, code, state)w.Header().Add("Location", redirectURI)w.WriteHeader(http.StatusFound)
}
authorizeHandler会对用户进行身份认证,通过后,它会分配code并向浏览器返回重定向的应答,重定向的地址就是照片冲印服务的回调地址:http://my-photo-print.com:8080/cb?code=xxx&state=yyy。
3.3 换取access token并读取用户照片列表
这个重定向相当于用户浏览器向http://my-photo-print.com:8080/cb?code=xxx&state=yyy发起请求,为照片冲印服务提供code,该请求由my-photo-print的oauthCallbackHandler处理:
// oauth2-examples/my-photo-print/main.go// callback handler,用户拿到code后调用该handler
func oauthCallbackHandler(w http.ResponseWriter, r *http.Request) {fmt.Println("oauthCallbackHandler:", *r)code := r.FormValue("code")state := r.FormValue("state")mu.Lock()_, ok := stateCache[state]if !ok {mu.Unlock()fmt.Println("not found state:", state)w.WriteHeader(http.StatusBadRequest)return}delete(stateCache, state)mu.Unlock()// fetch access_token with codeaccessToken, err := fetchAccessToken(code)if err != nil {fmt.Println("fetch access_token error:", err)return}fmt.Println("fetch access_token ok:", accessToken)// use access_token to get user's photo listuser, pl, err := getPhotoList(accessToken)if err != nil {fmt.Println("get photo list error:", err)return}fmt.Println("get photo list ok:", pl)mu.Lock()userPhotoList[user] = plmu.Unlock()w.Header().Add("Location", "/photos?user="+user)w.WriteHeader(http.StatusFound)
}
这个handler中做了很多工作,包括使用code换取access token,使用access token读取用户的照片列表并存储在自己的存储中(这里用内存模拟,生产环境应该使用数据库服务实现),最后返回一个重定向应答。
用户浏览器收到重定向应答后,会重定向访问照片冲印服务的photos端点: http://my-photo-print.com:8080/photos?user=tonybai,以获取该用户的照片列表。photos端点的处理Handler如下:
// oauth2-examples/my-photo-print/main.go// 待获取到用户照片数据后,让用户浏览器重定向到该页面
func listPhonesHandler(w http.ResponseWriter, r *http.Request) {fmt.Println("listPhonesHandler:", *r)user := r.FormValue("user")mu.Lock()pl, ok := userPhotoList[user]if !ok {mu.Unlock()fmt.Println("not found user:", user)w.WriteHeader(http.StatusNotFound)return}mu.Unlock()// 渲染照片页面模板tmpl := template.Must(template.ParseFiles("photolist.html"))data := map[string]interface{}{"Username": user,"PhotoList": pl,}tmpl.Execute(w, data)
}
这里使用了photolist.html并结合用户的照片列表数据一起来渲染照片列表页面,并返回给浏览器:
到这里示例演示就结束了,用户通过授权让照片冲印服务读取到了照片数据。
这里还有一个服务没有提及,那就是my-yunpan.com云盘服务,它的实现较为简单,所以这里就不赘述了。
注:生产中,my-yunpan.com云盘服务是要对照片冲印服务的access token进行校验的,这里是演示程序,没有引入数据库或redis来共享access token,因此这里没有校验。
4. 小结
OAuth是一种广泛使用的开放授权机制。它通过引入授权服务器的概念,实现了用户在不共享自己的用户名密码情况下也能安全地向第三方应用提供特定权限的数据访问授权。
本文通过云盘开放平台和第三方照片打印服务的应用场景详细说明了OAuth出现的背景和解决的问题,并结合工作流程图和Go示例代码,通俗易懂地介绍了OAuth2授权码模式的整体交互流程和实现机制。希望大家通过对这篇文章的阅读,能加深对OAuth2工作原理和机制的理解。
文本涉及的源码可以在这里[12]下载。
注:鉴于本人在前端的小白水平,文中涉及的html代码部分在大模型的帮助下完成。渲染出来的页面比较丑陋,还望大家不要责怪:)。
注:Go社区提供了很多OAuth包可以帮助大家快速构建OAuth2的授权服务器,比如:https://github.com/go-oauth2/oauth2等。
5. 参考资料
OAuth2 Specification[13] - https://tools.ietf.org/html/rfc6749
《OAuth2实战[14]》- https://book.douban.com/subject/30487753/
An Illustrated Guide to OAuth and OpenID Connect[15] - https://developer.okta.com/blog/2019/10/21/illustrated-guide-to-oauth-and-oidc
《OAuth2实战课[16]》
OAuth和OpenID Connect的过去、现在和未来[17] - https://curity.medium.com/the-past-the-present-and-the-future-of-oauth-and-openid-connect-9b3fbf574519
“Gopher部落”知识星球[18]旨在打造一个精品Go学习和进阶社群!高品质首发Go技术文章,“三天”首发阅读权,每年两期Go语言发展现状分析,每天提前1小时阅读到新鲜的Gopher日报,网课、技术专栏、图书内容前瞻,六小时内必答保证等满足你关于Go语言生态的所有需求!2023年,Gopher部落将进一步聚焦于如何编写雅、地道、可读、可测试的Go代码,关注代码质量并深入理解Go核心技术,并继续加强与星友的互动。欢迎大家加入!
著名云主机服务厂商DigitalOcean发布最新的主机计划,入门级Droplet配置升级为:1 core CPU、1G内存、25G高速SSD,价格5$/月。有使用DigitalOcean需求的朋友,可以打开这个链接地址[19]:https://m.do.co/c/bff6eed92687 开启你的DO主机之路。
Gopher Daily(Gopher每日新闻) - https://gopherdaily.tonybai.com
我的联系方式:
微博(暂不可用):https://weibo.com/bigwhite20xx
微博2:https://weibo.com/u/6484441286
博客:tonybai.com
github: https://github.com/bigwhite
Gopher Daily归档 - https://github.com/bigwhite/gopherdaily

商务合作方式:撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。
参考资料
[1]
通过实例理解Go Web身份认证的几种方式: https://tonybai.com/2023/10/23/understand-go-web-authn-by-example/
[2]通过实例理解Web应用授权的几种方式: https://tonybai.com/2023/11/04/understand-go-web-authz-by-example/
[3]OAuth2授权: https://tools.ietf.org/html/rfc6749
[4]OpenID身份认证(OIDC, OpenID Connect): https://openid.net/specs/openid-connect-core-1_0.html
[5]OAuth是一个开放标准: https://en.wikipedia.org/wiki/OAuth
[6]OAuth 1.0协议才以RFC 5849的形式正式发布: https://www.rfc-editor.org/rfc/rfc5849
[7]OAuth 2.0以RFC 6749发布: https://datatracker.ietf.org/doc/html/rfc6749
[8]OAuth 2.0的RFC协议规范: https://datatracker.ietf.org/doc/html/rfc6749
[9]通过实例理解Go Web身份认证的几种方式: https://tonybai.com/2023/10/23/understand-go-web-authn-by-example/
[10]通过实例理解Web应用授权的几种方式: https://tonybai.com/2023/11/04/understand-go-web-authz-by-example/
[11]跨域问题: https://tonybai.com/2023/11/19/understand-go-web-cross-origin-problem-by-example/
[12]这里: https://github.com/bigwhite/experiments/tree/master/oauth2-examples
[13]OAuth2 Specification: https://tools.ietf.org/html/rfc6749
[14]OAuth2实战: https://book.douban.com/subject/30487753/
[15]An Illustrated Guide to OAuth and OpenID Connect: https://developer.okta.com/blog/2019/10/21/illustrated-guide-to-oauth-and-oidc
[16]OAuth2实战课: https://time.geekbang.org/column/intro/100053901?code=xEq9GQzVQBD0fk2eJ2wRE811l71Ld3NxuFeQg7hN8B0%3D
[17]OAuth和OpenID Connect的过去、现在和未来: https://curity.medium.com/the-past-the-present-and-the-future-of-oauth-and-openid-connect-9b3fbf574519
[18]“Gopher部落”知识星球: https://public.zsxq.com/groups/51284458844544
[19]链接地址: https://m.do.co/c/bff6eed92687
相关文章:

通过实例理解OAuth2授权
在之前的《通过实例理解Go Web身份认证的几种方式[1]》和《通过实例理解Web应用授权的几种方式[2]》两篇文章中,我们对Web应用身份认证(AuthN)和授权(AuthZ)的几种方式做了介绍并配以实例增强理解。 在现实世界中,还有一大类的认证与授权是在前面的文章中…...

MATLAB2022安装下载教程
安装包需从夸克网盘自取: 链接:https://pan.quark.cn/s/373ffc9213a1 提取码:N7PW 1.将安装包解压 2.以管理员的身份运行文件夹中的setup文件 3.点击高级选项--->我有文件安装密钥 4. 选择【是】,进入下一步 5.输入密钥 0532…...
从零开始搭建Go语言开发环境
https://www.liwenzhou.com/posts/Go/install_go_dev/ “go 命令现在默认在模块感知模式下构建包,即使没有 go.mod 存在也是如此。 “您可以将 GO111MODULE 设置为 auto,仅当当前目录或任何父目录中存在 go.mod 文件时,才能启用模块感知模式…...

vite+vue3+ts+tsx+ant-design-vue项目框架搭建
参与公司项目开发一段时间了,项目用到了很多新的技术(vite,vue3,ts等等),但是框架都是别人搭好的,然后就想说如果是自己的话,会从零搭建一个吗,于是就有了这篇文章。 目录 一、涉及到的相关依…...

【5G PHY】5G小区类型、小区组和小区节点的概念介绍
博主未授权任何人或组织机构转载博主任何原创文章,感谢各位对原创的支持! 博主链接 本人就职于国际知名终端厂商,负责modem芯片研发。 在5G早期负责终端数据业务层、核心网相关的开发工作,目前牵头6G算力网络技术标准研究。 博客…...

创建个人网站(一)从零开始配置环境,搭建项目
目录 前言配置环境前端后端遇到的问题1.安装了nvm和node,vscode没反应2.安装完脚手架之后vue指令不存在 vscode插件(以后遇到好的会添进去) 前言 从刚开始学前端的html直到现在前后端都有在开发,我一直都有一个想法,就…...
fripside - promise lrc
[ti:promise] [ed:2] [rt:20] [ml:0|0] [00:05.172]words:Satoshi Yaginuma, Shinichiro Yamashita [00:09.664]music&arrangement:Satoshi Yaginuma, Shigetoshi Yamada [00:14.565]PCゲーム「ENGAGE LINKS」 (Alcot) エンディングテーマ [00:20.000] [00:46.442]朝の陽射…...
网络连接和协议
网络连接是通过一系列协议来实现的,其中TCP/IP协议和HTTP协议是其中两个关键的协议。 1. **TCP/IP协议:** - TCP/IP(Transmission Control Protocol/Internet Protocol)是一组用于在互联网上传输数据的协议。它是一个层次化的…...

MySQL数据库,表的增量备份与恢复
1. 从物理与逻辑的角度 数据库备份可以分为物理备份和逻辑备份。物理备份是对数据库操作系统的物理文件(如数据 文件,日志文件等)的备份。这种类型的备份适用于在出现问题时需要快速恢复的大型重要数据库。 物理备份又可以分为冷备份…...

13.Spring 整合 Kafka + 发送系统通知 + 显示系统通知
目录 1.Spring 整合 Kafka 2.发送系统通知 2.1 封装事件对象 2.2 开发事件的生产者和消费者 2.3 触发事件:在评论、点赞、关注后通知编辑 3.显示系统通知 3.1 通知列表 3.1.1 数据访问层 3.1.2 业务层 3.1.3 表现层 3.2 开发通知详情 3.2.1 开发数据…...

windows 服务器 怎么部署python 程序
一、要在 Windows 服务器上部署 Python 程序,您需要遵循以下步骤: 安装 Python:首先,在 Windows 服务器上安装 Python。您可以从官方网站(https://www.python.org/downloads/windows/)下载最新的 Python 安…...
Chapter 7 - 2. Congestion Management in Ethernet Storage Networks以太网存储网络的拥塞管理
Location of Ingress No-Drop Queues入口无损队列的位置 Ingress queues for no-drop traffic are maintained by all the ports in a lossless Ethernet network. For the sake of simplicity, Figure 7-1 shows ingress no-drop queue(s) only at one location, but in real…...
深入理解前端项目中的 package.json
在前端开发中,package.json 是一个很重要的文件,它在Node.js和前端项目中扮演着重要的角色。这个文件用于存储项目的元数据以及管理项目的依赖关系。 package.json 文件是每个Node.js项目和许多前端项目的核心。它不仅定义了项目的基本属性,…...
4-Docker命令之docker build
1.docker build介绍 docker build命令是用来使用Dockerfile文件创建镜像 2.docker build用法 docker build [参数] PATH | URL | - [root@centos79 ~]# docker build --helpUsage: docker buildx build [OPTIONS] PATH | URL | -Start a buildAliases:docker buildx build…...

Hdfs java API
1.在主机上启动hadoop sbin/start-all.sh 这里有一个小窍门,可以在本机上打开8088端口查看三台机器的连接状态,以及可以打开50070端口,查看hdfs文件状况。以我的主虚拟机为例,ip地址为192.168.198.200,所以可以采用下…...

大数据Doris(三十七):索引和Rollup基本概念和案例演示
文章目录 索引和Rollup基本概念和案例演示 一、基本概念 二、 案例演示...

2019年第八届数学建模国际赛小美赛B题数据中心冷出风口的设计解题全过程文档及程序
2019年第八届数学建模国际赛小美赛 B题 数据中心冷出风口的设计 原题再现: 这是数据中心空调设计面临的一个问题。在一些数据中心,计算机机柜是开放的,在一个房间里排列成三到四排。冷却后的空气通过主管进入房间,并分为三到四个…...

mmpose 使用笔记
目录 自己整理的可以跑通的代码: 图片demo: 检测加关键点 自己整理的可以跑通的代码: 最强姿态模型 mmpose 使用实例-CSDN博客 图片demo: python demo/image_demo.py \tests/data/coco/000000000785.jpg \configs/body_2d_k…...

<url-pattern>/</url-pattern>与<url-pattern>/*</url-pattern>的区别
<url-pattern>/</url-pattern> servlet的url-pattern设置为/时, 它仅替换servlet容器的默认内置servlet,用于处理所有与其他注册的servlet不匹配的请求。直白点说就是,所有静态资源(js,css,ima…...

Spring IoCDI
文章目录 一、Spring、Spring boot、Spring MVC之间的区别1. Spring 是什么2. 区别概述 一、Spring、Spring boot、Spring MVC之间的区别 1. Spring 是什么 Spring 是包含了众多工具方法的 IoC 容器 (1)容器 容器是用来容纳某种物品的基本装置…...

【OSG学习笔记】Day 18: 碰撞检测与物理交互
物理引擎(Physics Engine) 物理引擎 是一种通过计算机模拟物理规律(如力学、碰撞、重力、流体动力学等)的软件工具或库。 它的核心目标是在虚拟环境中逼真地模拟物体的运动和交互,广泛应用于 游戏开发、动画制作、虚…...

JavaScript 中的 ES|QL:利用 Apache Arrow 工具
作者:来自 Elastic Jeffrey Rengifo 学习如何将 ES|QL 与 JavaScript 的 Apache Arrow 客户端工具一起使用。 想获得 Elastic 认证吗?了解下一期 Elasticsearch Engineer 培训的时间吧! Elasticsearch 拥有众多新功能,助你为自己…...

前端导出带有合并单元格的列表
// 导出async function exportExcel(fileName "共识调整.xlsx") {// 所有数据const exportData await getAllMainData();// 表头内容let fitstTitleList [];const secondTitleList [];allColumns.value.forEach(column > {if (!column.children) {fitstTitleL…...

【快手拥抱开源】通过快手团队开源的 KwaiCoder-AutoThink-preview 解锁大语言模型的潜力
引言: 在人工智能快速发展的浪潮中,快手Kwaipilot团队推出的 KwaiCoder-AutoThink-preview 具有里程碑意义——这是首个公开的AutoThink大语言模型(LLM)。该模型代表着该领域的重大突破,通过独特方式融合思考与非思考…...
大模型多显卡多服务器并行计算方法与实践指南
一、分布式训练概述 大规模语言模型的训练通常需要分布式计算技术,以解决单机资源不足的问题。分布式训练主要分为两种模式: 数据并行:将数据分片到不同设备,每个设备拥有完整的模型副本 模型并行:将模型分割到不同设备,每个设备处理部分模型计算 现代大模型训练通常结合…...

华为云Flexus+DeepSeek征文|DeepSeek-V3/R1 商用服务开通全流程与本地部署搭建
华为云FlexusDeepSeek征文|DeepSeek-V3/R1 商用服务开通全流程与本地部署搭建 前言 如今大模型其性能出色,华为云 ModelArts Studio_MaaS大模型即服务平台华为云内置了大模型,能助力我们轻松驾驭 DeepSeek-V3/R1,本文中将分享如何…...
DeepSeek 技术赋能无人农场协同作业:用 AI 重构农田管理 “神经网”
目录 一、引言二、DeepSeek 技术大揭秘2.1 核心架构解析2.2 关键技术剖析 三、智能农业无人农场协同作业现状3.1 发展现状概述3.2 协同作业模式介绍 四、DeepSeek 的 “农场奇妙游”4.1 数据处理与分析4.2 作物生长监测与预测4.3 病虫害防治4.4 农机协同作业调度 五、实际案例大…...

企业如何增强终端安全?
在数字化转型加速的今天,企业的业务运行越来越依赖于终端设备。从员工的笔记本电脑、智能手机,到工厂里的物联网设备、智能传感器,这些终端构成了企业与外部世界连接的 “神经末梢”。然而,随着远程办公的常态化和设备接入的爆炸式…...

Linux --进程控制
本文从以下五个方面来初步认识进程控制: 目录 进程创建 进程终止 进程等待 进程替换 模拟实现一个微型shell 进程创建 在Linux系统中我们可以在一个进程使用系统调用fork()来创建子进程,创建出来的进程就是子进程,原来的进程为父进程。…...

使用 SymPy 进行向量和矩阵的高级操作
在科学计算和工程领域,向量和矩阵操作是解决问题的核心技能之一。Python 的 SymPy 库提供了强大的符号计算功能,能够高效地处理向量和矩阵的各种操作。本文将深入探讨如何使用 SymPy 进行向量和矩阵的创建、合并以及维度拓展等操作,并通过具体…...