浅谈安全协议之OAuth.pptxVIP

浅谈OAuth安全协议 求知+分享王Mr.39健康网技术部

目录1什么是OAuth2Oauth认证流程3搭建自有OAuth439的OAuth

什么是OAuthOAuth是由BlaineCook、ChrisMessina、LarryHalff及DavidRecordon共同发起的，目的在于为API访问授权提供一个安全、开放的标准。基于OAuth认证授权具有以下特点：安全。OAuth与别的授权方式不同之处在于：OAuth的授权不会使消费方（Consumer）触及到用户的帐号信息（如用户名与密码），也是是说，消费方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。开放。任何消费方都可以使用OAuth认证服务，任何服务提供方(ServiceProvider)都可以实现自身的OAuth认证服务。简单。不管是消费方还是服务提供方，都很容易于理解与使用。 OAuth官网地址：/OAuth简介

什么是OAuth|三种角色1ServiceProvider为海量用户提供服务的平台新浪微博腾讯微博GoogleServiceTiwtter大量的用户群

什么是OAuth|三种角色2Consumer消费方（官方）为Provider提供APP的第三方开发者Weico

什么是OAuth|三种角色3UserProvider和Consumer的使用者

举一个通俗易懂的例子什么是OAuth|三种角色

Oauth的认证流程|虚拟的取钱案例

Oauth的认证流程|虚拟的取钱案例

Oauth的认证流程|官方的流程

Oauth的认证流程|官方的流程

Oauth的认证流程|官方的流程

Oauth的认证流程|官方的流程最清晰明了的流程图

Oauth的认证流程|参数简介ConsumerCONSUMER_KEYCONSUMER_SECRETOAUTH_CALLBACK_URLConsumer在Provider注册。用户授权后的返回地址OAUTH_NONCE?OAUTH_SIGNATURE_METHOD?OAUTH_VERSION?OAUTH_TIMESTAMP?随机字符串，须保证每次都不同签名basestring的方法，目前支持?HMAC-SHA1时间戳Oauth协议版本

Oauth的认证流程|参数简介ProviderREQUEST_URLACCESS_URLAUTHORIZE_URLOAUTH_TOKENOAUTH_TOKEN_SECRET向应用服务商（新浪、搜狐等微博）请求request_token。得到request_token后重定向用户到服务商的授权页面。用户选择授权后，用request_token向服务商请求换取access_token。OAUTH_ACCESS_TOKENOAUTH_TOKEN_SECRET

ConsumerConsumer向Provider注册，提交申请。OauthProviderProvider生成Key和Secret?返回给Consumer。Oauth的认证流程|第零步注册Consumer

01请求地址Url：02oauth_consumer_key03oauth_signature_method04oauth_signature05oauth_timestamp06oauth_callback07oauth_version08请求地址参数：09request_tokenOauth的认证流程|第一步请求未授权的request_token

Oauth的认证流程|第一步请求未授权的request_tokenoauth_signature（请求签名）所有TOKEN请求和受保护的资源请求必须被签名，Provider会根据签名来判断请求的合法性。签名算法使用SignatureBaseString和密钥（Secret）生成签名，参数oauth_signature用于指定签名。

BDAC请求后返回参数：oauth_token_secretoauth_token未授权的Token和SecretOauth的认证流程|第一步请求未授权的request_token

Oauth的认证流程|第二步请求用户授权request_token请求地址Url：请求地址参数：oauth_token（未授权的RequestToken）authorize说明：此页面中会要求用户登陆，然后选择同意或者拒绝对应用授权。授权成功后，Provider会重定向到oauth_callback所指定的URL。（返回授权之后的Token值，与未授权Token值相同。）。

Oauth的认证流程|第三