客户授权方式有哪些-OAuth2.0到底是什么？ 看完你就明白了！

oauth2简介

OAuth2是一个开放的授权协议和授权规范。 它提供了灵活的授权方法，允许用户安全地授权访问第三方应用程序中受保护的资源，而无需共享用户名和密码。 OAuth2协议定义了客户端如何请求授权、用户如何在客户端和应用程序之间进行授权以及如何交换授权信息以获得Access Token。 Access Token是第三方应用访问用户资源的凭证，具有一定的有效期。 OAuth2的引入解决了传统授权方式存在的安全性和可维护性问题，使用户能够更加灵活、安全地授权第三方应用程序访问其资源。

OAuth2协议常用的授权方式包括：

授权码方式

OAuth2授权码模式是目前最完整、最严格的授权模式。 主要分为四个步骤：授权请求、用户授权、获取授权码、获取AccessToken。 下面我们将通过图文结合的方式来说明OAuth2授权码模式的整个流程。

1.客户端发送授权请求

客户端（Client）首先向资源服务器（Resource Server）发送授权请求，请求中需要包含以下信息：

示例代码：

GET /authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=REDIRECT_URI HTTP/1.1  
Host: server.example.com

2、用户授权

资源服务器收到请求后，会跳转到客户端的回调URL，并将授权码作为参数传递给其。 此时卡通人物，用户需要在客户端页面输入用户名和密码进行身份验证。 客户端将用户名和密码发送给资源服务器。 资源服务器验证用户身份后，会根据客户端的请求决定是否对客户端进行授权。

3.获取授权码

如果资源服务器成功验证用户并对客户端进行授权，则会将授权码（Code）作为参数传递给客户端的回调URL。 客户端收到授权码后，将其保存在本地。

示例代码：

http://example.com/callback#code=AUTHORIZATION_CODE&state=STATE

4.获取AccessToken

客户端将授权码发送到授权服务器（Authorization Server）请求AccessToken。 请求需要包含以下信息：

示例代码：

POST /token HTTP/1.1  
Host: server.example.com  
Content-Type: application/x-www-form-urlencoded  
  
code=AUTHORIZATION_CODE&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=authorization_code&redirect_uri=REDIRECT_URI

授权服务器收到请求后，会验证授权码的有效性，并生成Access Token返回给客户端。客户端收到Access Token后，可以使用它访问受保护的资源

简化模式

OAuth2简化模式是一种比较简单的授权模式，适合公共浏览器单页应用。 相比OAuth2授权码模式，简化模式获取code的步骤更少，直接获取token令牌。 由于没有代码安全保障，令牌很容易因拦截、窃听而泄露。

以下是OAuth2简化模式的详细步骤：

1.客户端发送授权请求

客户端（Client）向资源服务器（Resource Server）发送授权请求，请求中需要包含以下信息：

示例代码：

GET /authorize?response_type=token&client_id=CLIENT_ID&username=USERNAME&password=PASSWORD&redirect_uri=REDIRECT_URI HTTP/1.1  
Host: server.example.com

2、用户授权

资源服务器收到请求后，会跳转到客户端的回调URL，并将token作为参数传递给其。 客户端收到token后，将其保存在本地。

3、获取AccessToken

客户端将Token发送给授权服务器（Authorization Server）请求AccessToken。 请求需要包含以下信息：

示例代码：

POST /token HTTP/1.1  
Host: server.example.com  
Content-Type: application/x-www-form-urlencoded  
  
token=TOKEN&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=password&redirect_uri=REDIRECT_URI

授权服务器收到请求后，会验证Token的有效性，并生成Access Token返回给客户端。 客户端收到Access Token后，就可以使用它来访问受保护的资源。

需要注意的是，由于OAuth2简化模式直接在浏览器中传输密码，因此不建议在前端应用程序中使用。 适合用户通过第三方客户端登录，但需要保证客户端的安全性。

密码模式

OAuth2密码模式是一种适用于客户端信任度较高的场景的授权模式。 其最大的特点是用户名和密码直接提交给客户端，而不需要经过认证服务器的验证。 这样做的优点是减轻了服务器的负载，但缺点是用户的密码是由客户端直接获取的，存在一定的安全风险。

以下是OAuth2密码模式的详细步骤：

1.客户端发送授权请求

客户端（Client）向资源服务器（Resource Server）发送授权请求，请求中需要包含以下信息：

示例代码：

GET /authorize?response_type=token&client_id=CLIENT_ID&username=USERNAME&password=PASSWORD&redirect_uri=REDIRECT_URI HTTP/1.1  
Host: server.example.com

2、获取AccessToken

客户端将用户名和密码发送到授权服务器（Authorization Server）请求AccessToken。 请求需要包含以下信息：

示例代码：

POST /token HTTP/1.1  
Host: server.example.com  
Content-Type: application/x-www-form-urlencoded  
  
username=USERNAME&password=PASSWORD&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=password

授权服务器收到请求后，会验证用户名和密码的有效性，并生成Access Token返回给客户端。 客户端收到Access Token后，就可以使用它来访问受保护的资源。

需要注意的是吉祥物设计，由于OAuth2密码模式直接在浏览器中传输密码，因此不建议在前端应用程序中使用。 适合用户通过第三方客户端登录，但需要保证客户端的安全性。

客户端凭证模式

OAuth2 Client Credentials模式是一种适合机器对机器通信的授权模式。 该模式下，客户端需要向授权服务器发送Client ID和Client Secret来获取Access Token，但不需要用户认证信息。

以下是OAuth2客户端凭证模式的详细步骤：

1.客户端发送授权请求

客户端（Client）向资源服务器（Resource Server）发送授权请求，请求中需要包含以下信息：

示例代码：

GET /authorize?response_type=token&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=client_credentials HTTP/1.1  
Host: server.example.com

2、获取AccessToken

客户端将Client ID和Client Secret发送到授权服务器（Authorization Server）请求AccessToken。 请求需要包含以下信息：

示例代码：

POST /token HTTP/1.1  
Host: server.example.com  
Content-Type: application/x-www-form-urlencoded  
  
client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=client_credentials

授权服务器收到请求后，会验证Client ID和Client Secret的有效性客户授权方式有哪些，并生成Access Token返回给客户端。 客户端收到Access Token后，就可以使用它来访问受保护的资源。

需要说明的是，由于OAuth2客户端凭证模式适用于机器对机器的通信，因此在实际应用中客户授权方式有哪些，需要保证客户端秘钥（Client Secret）的安全，避免泄露。