开放_OAuth20_cn.docVIP

目 录 OAuth的2.0授权协议 1 1 简介 1 1.1 角色 2 1.2 协议流 3 1.3 权限授予（AuthorizationGrant） 4 1.3.1 授权码 5 1.3.2 隐式 5 1.3.3 资源所有者密码凭据 5 1.3.4 ClientCredentials 6 1.4 访问令牌 6 1.5 刷新令牌 6 2 2. ClientRegistration　客户注册 8 2.1 客户端类型 8 2.2 客户端标识符 9 2.3 客户端身份验证 10 2.3.1 客户端的密码 10 2.3.2 其他身份验证方法 11 2.4 未注册的客户端 12 3 协议的端点 12 3.1 授权端点 12 3.1.1 响应类型 13 3.1.2 重定向向端点 13 3.2 令牌端点 15 3.2.1 客户端身份验证 15 3.3 Access Token Scope 16 4 Obtaining Authorization 16 4.1 授权码 16 4.1.1 授权申请 17 4.1.2 授权应答 19 4.1.3 访问令牌请求 21 4.1.4 访问令牌应答 22 4.2 隐式授权 23 4.2.1 授权请求 25 4.2.2 访问令牌应答 26 4.3 资源所有者密码凭据 28 4.3.1 授权请求和应答 29 4.3.2 访问令牌请求 29 4.3.3 访问令牌应答 31 4.4 客户端凭证 32 4.4.1 授权请求和应答 32 4.4.2 访问令牌请求 32 4.4.3 访问令牌响应 33 4.5 扩展 34 5 分发访问令牌 35 5.1 成功的响应 35 5.2 错误响应 36 6 刷新访问令牌 38 7 访问受保护资源 40 7.1 访问令牌类型 40 8 可扩展性 41 8.1 定义访问令牌类型 41 8.2 定义新端点参数 41 8.3 定义新的权限授予类型 42 8.4 定义新的授权端点响应类型 42 8.5 定义额外的错误码 42 9 本地应用 43 10 安全注意事项 44 10.1 客户端认证 44 10.2 客户端模拟 45 10.3 访问令牌 45 10.4 刷新令牌 45 10.5 授权码 46 10.6 授权码重定向URI的操作 46 10.7 资源所有者密码保密 47 10.8 请求保密 47 10.9 端点授权 47 10.10 凭证猜测攻击 47 10.11 钓鱼攻击 47 10.12 夸站点请求伪造 48 10.13 Clickjacking（跨浏览器攻击） 48 10.14 代码注入和输入验证 49 11 IANA事项 49 11.1 OAuth?访问令牌类型注册表 49 11.1.1 注册模板 49 11.2 The OAuth Parameters Registry 50 11.2.1 注册模板 50 11.2.2 初始登记册的类容 51 11.3 OAuth?授权端点响应类型注册表 54 11.3.1 注册模板 55 11.3.2 初始注册表内容 55 11.4 OAuth?扩展错误注册表 56 11.4.1 注册模板 56 12 CSRF(cross-site request forgery) 57 12.1 示例和特性 57 12.2 防范措施 57 12.3 影响CSRF的因素 57 13 共享session 58 13.1 问题 58 13.1.1 网站存在多个子域名的情况下如何共享session 58 13.1.2 同一个主域名不同服务器之间如何共享session 58 13.2 方案 58 13.2.1 创建数据库表 58 13.2.2 Session数据库操作 58 OAuth的2.0授权协议 草案-IETF-OAuth - V2 – 22 摘要：OAuth的2.0授权协议允许第三方应用程序获取机会有限的HTTP服务，无论是以资源所有者的名义通过协调的批准资源所有者和HTTP服务互动，或通过允许第三方应用程序，以自己的名义获得的访问。 ? 简介 在传统的客户端 - 服务器的身份验证模型中，客户端使用资源所有者服务器上凭据（credentials） 进行身份验证来申请访问受限资源（受保护的资源）。 为了提供第三方应用程序访问受限制的资源，资源的所有者分享其凭据给第三方。 这将产生几个问题和限制： ? a.? 第三方的应用程序需要存储资源业主的凭据，以备将来使用，通常是一个明确的密码文本。 ? b.? 服务器都必须支持密码认证，尽管创建密码是安全薄弱环节。 ? c.? 第三方应用程序获得对资源所有者的受保护的资源过大的权限，让资源所有者没有能力限制周期或访问一个有限子集资源。 ? d.? 资源所有者不能在没有撤销所有的第三方访问的情况下，撤销个别第三