基于OpenID2.0认证授权系统分析与设计.docVIP

基于OpenID2.0认证授权系统分析与设计 　　摘要：随着互联网的发展，各式各样的网站日益增多，用户使用某个网站的资源时，需要注册成为此网站的用户。在这种形式下，第三方登录逐渐流行乃至普遍。当下用于授权的OAuth2.0协议普遍被各大公司使用，但是授权之前并未进行身份认证，本文提出一种完善的基于OpenID2.0的认证授权机制，使得用户可以安全的将自己的互联网身份共享在多个网站上。 　　关键词：系统设计；OpenID2.0； OAuth2.0；认证；授权 　　中图分类号：TP311 　　文献标识码：A 　　DOI： 10.3969/j.issn.1003-6970.2015.10.001 　　引言 　　OpenID 2.0（Open Identification）协议是OpenID基金会推出的去中心化的用户认证协议，这个协议允许用户使用同一个标识登录不同的支持OpenID登录的网站。使用OpenID登录的方式为用户提供了极大的方便，用户不用在每个网站上都注册账号，更不必记忆繁琐的用户名和密码，OAuth（OpenAuthorization）是一个开放标准，允许用户授权给第三方应用，使其访问用户在某个网站的个人资料。OAuth 2.0协议是OAuth协议的下一个版本，但是不兼容OAuth l.0协议即完全废止了OAuthl.0。 　　目前，OAuth2.0已经成了主流的授权协议，腾讯微博、QQ空间、新浪微博、百度开放平台、淘宝开放平台、人人网、搜狐等各大网络平台都已支持OAuth2.0，支持用户用其身份登录别的网站。但是OAuth2.0协议中并无“身份”的概念，用户A浏览第三方应用B（或网站），B请求A在网站C的资源，B只是作为一个资源请求者向C请求资源，C不需要知道B是谁，C只需得到A的允许，由此看来，资源拥有者并未完成对客户端的身份认证。 　　OpenID2.0是一个以用户为中心的数字身份识别框架，具有开放、分散、自由等特性。OpenID相关的技术有统一认证和单点登录等。单点登录，是一种认证和授权机制，主要目的是为了方便用户访问多个系统，统一身份认证，旨在将分散在各个信息系统中的用户和权限资源进行统一集中管理，提升系统安全性，简化资源访问操作。本文的设计既不是统一认证，也不是单点登录，是一种在多个网站间共享用户名的方案。 　　在支持OpenID的网站登录时，对于用户，只需输入OpenID标识，就可以成为此网站的用户，享受其服务。第三方网站会根据用户输入的OpenID标识去发现OpenID提供商，OpenID提供商对持有该标识的用户进行认证，认证完成后，第三方网站可以根据用户的选择，分享用户在OpenID提供商网站的信息，这就涉及到授权访问的问题。授权访问可以采用OAuth开放授权技术实现第三方网站对OpenID提供商网站资源的访问。 　　1 协议工作方式 　　下面有个很形象的比喻：当我们住在酒店，每天给我们打扫房间的酒店清洁人员进行清洁时，一般情况下，穿着工作服，带着房门钥匙的，我们心里就会默认：这就是清洁人员。大多数情况下也是这样，但是有的时候可能会有坏人拿着酒店房门的钥匙，穿着清洁服，打着清洁的招牌进入房间进行盗窃等，我们以为他是清洁人员，其实可能是小偷。这就说明，我们在授权别人做某些事情的时候，按理说应该首先对这个人进行认证。这里所说的授权和认证就是由OAuth2.0和OpenID2.0来完成的。 　　1.1 0penID2.0 　　1.1.1 协议主体： 　　1.用户（End User），想要使用某网站资源的网站访问者，或用户代理。 　　2.OpenID依赖方（Relying Party，简称RP），即我们所说的支持OpenID登录的第三方网站或应用。 　　3.OpenID提供者（OpenID Provider，简称OP），OpenID提供商网站，用户需要在OpenID提供商那里注册，获取一个有效的OpenID标识，才能在支持OpenID的RP使用OpenID登录，在OAuth中，大多数情况下扮演资源提供者的角色。 　　1.1.2 认证过程： 　　1.用户访问RP网站时，被要求需要登录此网站才能使用某些服务。 　　2.用户选择了OpenID登录，RP跳转到了OpenID登录界面。 　　3.用户输入OpenID标识。 　　4.RP接收用户的OpenID标识，将其规范化。 　　5.根据规范化之后的OpenID标识发现OP。 　　6.与OP建立联系。 　　7. OP确认建立联系，返回确认信息。 　　8.RP将用户输入的OpenID标识发送给OP请求认证。 　　9. OP确认此用户是否是网站已注册OpenID的用户。 　　10.确认完成后，将认证消息回复给RP。