作者回复: 在授权码模式中,这里的客户是指客户端应用,一般在一个Web服务器上,资源拥有者一般使用自己的设备(PC或笔记本或手机),通过客户应用(Web服务器设备)去访问自己在其它服务器上资源。
作者回复: 你好,举个例子,你在github上有一些项目,你就是资源(项目)拥有者(resource owner),你可以利用github提供的开放API开发一个应用,用它可以查看甚至操作你在github上的项目,这个应用叫客户应用(client app)。如果这个应用是一个web应用,它被部署在一个web服务器上,那么它是一个私密应用,在web服务器上可以存储该应用的客户标识+凭证(client id+secret),你需要使用浏览器(user-agent)访问这个应用,但是客户标识+凭证(包括令牌)不会被浏览器看到,所以叫私密应用。如果你开发的应用不是部署在web服务器上的,而是直接加载到用户端浏览器的单页应用,或者无线原生应用,这些应用会直接操作令牌,那么它们被称为公开应用,公开应用只存储客户标识(client id),不能存储客户凭证(client secret),否则会被用户看到可能泄漏,所以叫公开客户应用。另外建议看下OAuth2最简向导ppt:https://github.com/spring2go/oauth2lab/blob/master/ppt/
作者回复: 你好,你学习很仔细,有思考,赞!
关于第1个问题:第一方公开应用,如果使用用户名密码模式,原生APP是可以把clientId/secret编码在代码里头的,最后编译成二进制,一般不易拿到。如果是SPA,对于无线应用,可以考虑hybrid混合模式,clientId/secret也可以考虑编码在代码里头,如果是纯SPA,为安全考虑,可以考虑服务端配合,相当于一种授权码模式变体。
实际很多企业的第一方应用,大都采用用户名密码模式,但不是严格OAuth,也就是说clientId/secret都不传递,或者只传一个应用标识,做统计跟踪用。既然是第一方官方应用,一般和官方域名绑定,或者要经过appstore严格审核,很难伪造获利。
关于问题2:企业分内外客户的话,的确去要考虑部署两套OAuth服务,或者采用支持多租户的OAuth服务(可以参考FusionAuth(fusionauth.io))。
作者回复: 可以简单认为是一个概念,资源拥有者是OAuth的术语,假设极客时间开发的app可以支持微信联合登录,你在微信上有用户数据(资源),你就是资源拥有者,可以授权极客时间app去访问你在微信上的数据(联合登录)
作者回复: 谢谢支持!加油!
作者回复: authcode只能用来换取对应的那个token,不能干其它事情,而且有时效性。
作者回复: 单页是指纯静态,js/html/逻辑都跑在客户端agent(如浏览器中),后台服务器只做静态资源的hosting,无逻辑。凡后台服务器端有计算逻辑的,即使前端页面用ajax,也应该考虑走授权码模式。
作者回复: 谢谢建议🌹已经反馈极客时间
作者回复: 你好,oauth2本身就有很多术语,本课也已经花了很多篇幅来解释其中的术语,建议多看看几遍视频和相关文档,进一步消化。
另外,前面有一节白话OAuth2,这个比较简单,可做入门学习。
作者回复: 有两种设计:
一种是用户信息集中存在认证服务器上,其它服务器通过认证服务集中登录,后面需要用户数据的话,则拿令牌集中到认证服务器上去查用户数据。
另外一种做法是认证服务器上只存一个账户id(用户注册时建立),具体用户信息,各个业务应用根据需要自己存一份,但是表中要记录用户和账户id的关联,这样通过认证服务器登录后,可以获取到账户id,然后通过账户id去查各自的用户数据。
作者回复: 根据RFC6749,授权码模式,用户名密码模式和客户端模式,必须传client_id/secret进行客户应用认证。简化模式只需传client_id。
作者回复: Client Credentials Grant是机器对机器调用的场景,没有人参与的,比如某个job任务要定期调用某个服务,这个动作是异步周期执行,没有人参与,如果安全要求严格,那么可以考虑这种客户端模式。不过,实际企业中,机器间调用一般可以直接调用,安全性通过生产网段隔离保证,所以这种模式其实用得并不多。
作者回复: 如果是使用简化模式或者用户名密码模式的单页应用,token是可以存在浏览器cookie中的,这种方式安全性低,一般只用在安全不严格场合。如果是授权码模式的Web应用,则token只会在服务器之间流转,不会跑到浏览器中。
作者回复: 用户名密码模式常用在第一方无线native应用场景中,“在相同设备上”的设备可简单理解为比如在手机等设备上,这时资源拥有者持有手机,客户(无线)应用也安装在手机设备上。
作者回复: 在授权码模式下,浏览器,客户端(一般是web app),授权服务器和资源服务器是4个不同概念。流程最后客户端会去授权服务器获取令牌,可以存在db或redis等存储中。令牌不会经过去浏览器。可参考lab02。
作者回复: 谢谢支持🌹
作者回复: 一般授权服务器(比如spring security oauth2和keycloak等)都支持典型的4种oauth2 flow,你根据应用场景选择接入即可。授权码主要用于webapp和第三方原生app。
作者回复: 机器那个没有resource owner也就是人的参与,机器自动直接获取token,web服务端应用有人参与。
作者回复: 令牌只在授权服务器和Web服务器之间传递,不会跑到用户端浏览器中
作者回复: web服务器端应用比方说就是我们常见的java或.net开发的MVC应用,和单页应用不同,web mvc应用是有服务器端展示和业务逻辑的。电商后台web管理系统应该算(只要不是单页应用),如果要访问内部API且内部有OAUTH认证授权服务的话,建议用标准授权码模式。当然视具体情况,企业内部如果安全不严格的话用简化模式或密码模式,甚至不走OAUTH直连API也OK。