nodejs实现OAuth2.0授权服务认证


Posted in NodeJs onDecember 27, 2017

OAuth是一种开发授权的网络标准,全拼为open authorization,即开放式授权,最新的协议版本是2.0。

举个栗子:

有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。

传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。

  1. "云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
  2. Google不得不部署密码登录,而我们知道,单纯的密码登录并不安全。
  3. "云冲印"拥有了获取用户储存在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
  4. 用户只有修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效。
  5. 只要有一个第三方应用程序被破解,就会导致用户密码泄漏,以及所有被密码保护的数据泄漏。

所以OAuth就诞生了!

  1. Third-party application:第三方应用程序,本文中又称"客户端"(client),即上一节例子中的"云冲印"。
  2. HTTP service:HTTP服务提供商,本文中简称"服务提供商",即上一节例子中的Google。
  3. Resource Owner:资源所有者,本文中又称"用户"(user)。
  4. User Agent:用户代理,本文中就是指浏览器。
  5. Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
  6. Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

登录层提供令牌(token)的生成,其中token包括:有效期、权限范围。客户端拿到token去访问受限资源。

  1. access_token:请求资源时需要携带的token,即访问token。
  2. refresh_token:刷新token,如果access_token过期,可以使用该token获取一份新的access_token和新的refresh_token。一般refresh_token时效性较长,比如一年,而access_token时效性较短,比如几分钟。
  3. 权限范围:即指定客户端可以获取的资源权限范围。

OAuth授权模式

OAuth有四种授权模式,分别为:

  1. 授权码模式(authorization code)
  2. 简化模式(implicit)
  3. 密码模式(resource owner password credentials)
  4. 客户端模式(client credentials)

1、授权码模式

授权码模式是最为严密的授权模式,整体流程为:浏览器携带必要信息至授权页面,正常登录成功后,返回一个code(授权码),客户端拿到code后在后台获取拿code换取token。

nodejs实现OAuth2.0授权服务认证

nodejs实现OAuth2.0授权服务认证

2、密码模式

密码模式,简单地理解即为使用用户名密码等参数获取access_token,它的步骤如下:

  1. 用户向客户端提供用户名和密码。
  2. 客户端将用户名和密码发给认证服务器,向后者请求令牌。
  3. 认证服务器确认无误后,向客户端提供访问令牌。

nodejs实现OAuth2.0授权服务认证

3、refresh_token的应用

refresh_token被用来获取新的access_token和refresh_token,使用方式简单如下:

nodejs实现OAuth2.0授权服务认证

refresh_token无效:

nodejs实现OAuth2.0授权服务认证

使用nodejs实现OAuth授权服务

技术栈:

  1. nodejs + eggjs
  2. eggjs-oAuth-server插件

具体可以参考:
https://github.com/Azard/egg-oauth2-server
https://cnodejs.org/topic/592b2aedba8670562a40f60b

1、code grant模式测试及单点登录实现

这里我们构建两个站点,一个是7001端口(授权服务),一个是7002端口(客户端),授权模式为code grant。

首先是客户端登录页:

nodejs实现OAuth2.0授权服务认证

单击按钮后直接登录:

nodejs实现OAuth2.0授权服务认证

可以发现,浏览器重定向到授权服务地址,并携带了response_type、client_id、redirect_uri三个参数,登录成功后,浏览器会重定向到redirect_uri指定的地址,即这里的*http://127.0.0.1:7002/auth/redirect*:

如下为授权服务的登录页写法

<form action="/oauth2/authorize?{{query}}" id="form1" name="f" method="post">
  <div class="input_outer">
    <span class="u_user"></span>
    <input name="username" class="text" style="color: #FFFFFF !important" type="text" placeholder="请输入账户">
  </div>
  <div class="input_outer">
    <span class="us_uer"></span>
    <input name="password" class="text" style="color: #FFFFFF !important; position:absolute; z-index:100;"value="" type="password" placeholder="请输入密码">
  </div>
  <div class="mb2"><a class="act-but submit" href="javascript:;" rel="external nofollow" onclick="document.getElementById('form1').submit()" style="color: #FFFFFF">登录</a></div>
</form>

这里的${query}即为客户端登录重定向携带的完整query,然后是/oauth2/authorize路由的写法:

app.all('/oauth2/authorize', app.oAuth2Server.authorize());// 获取授权码

这里调用app.oAuth2Server.authorize()时,插件会自动执行重定向操作,首先是重定向到客户端指定地址,客户端拿到code和state后,再去授权层获取token:

async redirect(){
  // 服务端重定向过来的
  console.log(this.ctx.query)
  const result = await this.ctx.curl('http://127.0.0.1:7001/users/token', {
   dataType: 'json',
   // contentType: 'application/x-www-form-urlencoded', // 默认格式
   method: 'POST',
   timeout: 3000,
   data: {
    grant_type: 'authorization_code',
    code: this.ctx.query.code,
    state: this.ctx.query.state,
    client_id: client_id,
    client_secret: client_secret,
    redirect_uri: redirect_uri,
   }
  });
  this.ctx.body = result.data;
 }

获取到token后正常返回:

nodejs实现OAuth2.0授权服务认证

2、password grant模式测试

首先使用username、password获取access_token:

nodejs实现OAuth2.0授权服务认证

用户名或密码错误时返回:

nodejs实现OAuth2.0授权服务认证

使用token获取授权资源正常返回:

nodejs实现OAuth2.0授权服务认证

以上内容完整源码参考:https://github.com/caiya/eggjs-oAuth2-server

总结

  1. OAuth实际使用时要上https,包括客户端和授权服务端
  2. 授权服务可以使用私钥签名,客户端使用公钥验证,从而保证数据安全性

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
nodejs中简单实现Javascript Promise机制的实例
Dec 06 NodeJs
NodeJS学习笔记之FS文件模块
Jan 13 NodeJs
nodejs简单实现中英文翻译
May 04 NodeJs
nodejs简单实现操作arduino
Sep 25 NodeJs
Nodejs 获取时间加手机标识的32位标识实现代码
Mar 07 NodeJs
webstorm中配置nodejs环境及npm的实例
May 15 NodeJs
NodeJs项目中关闭ESLint的方法
Aug 09 NodeJs
nodejs使用async模块同步执行的方法
Mar 02 NodeJs
nodejs中使用archive压缩文件的实现代码
Nov 26 NodeJs
nodejs对mongodb数据库的增加修删该查实例代码
Jan 05 NodeJs
Nodejs封装类似express框架的路由实例详解
Jan 05 NodeJs
NodeJS模块Buffer原理及使用方法解析
Nov 11 NodeJs
使用nodejs+express实现简单的文件上传功能
Dec 27 #NodeJs
nodejs超出最大的调用栈错误问题
Dec 27 #NodeJs
nodejs实现简单的gulp打包
Dec 21 #NodeJs
nodejs调取微信收货地址的方法
Dec 20 #NodeJs
基于nodejs实现微信支付功能
Dec 20 #NodeJs
nodeJS微信分享
Dec 20 #NodeJs
NodeJS爬虫实例之糗事百科
Dec 14 #NodeJs
You might like
Php Image Resize图片大小调整的函数代码
2011/01/17 PHP
深入理解PHP中的global
2014/08/19 PHP
PHP中数据类型转换的三种方式
2015/04/02 PHP
浅谈PHP中如何实现Hook机制
2017/11/14 PHP
JavaScript Date对象使用总结
2009/05/14 Javascript
用JavaScript隐藏控件的方法
2009/09/21 Javascript
JavaScript Event学习第五章 高级事件注册模型
2010/02/07 Javascript
JavaScript中使用正则匹配多条,且获取每条中的分组数据
2010/11/30 Javascript
JS中Iframe之间传值的方法
2013/03/11 Javascript
jquery实现键盘左右翻页特效
2015/04/30 Javascript
js调用百度地图及调用百度地图的搜索功能
2015/09/07 Javascript
深入浅出ES6新特性之函数默认参数和箭头函数
2016/08/01 Javascript
jQuery的ajax中使用FormData实现页面无刷新上传功能
2017/01/16 Javascript
详解vue-meta如何让你更优雅的管理头部标签
2018/01/18 Javascript
Vue.js实现图片的随意拖动方法
2018/03/08 Javascript
小程序转发探索示例
2019/02/19 Javascript
JS判断两个数组或对象是否相同的方法示例
2019/02/28 Javascript
vue 详情跳转至列表页实现列表页缓存
2019/03/27 Javascript
js+html5 canvas实现ps钢笔抠图
2019/04/28 Javascript
jQuery事件委托代码实践详解
2019/06/21 jQuery
Node.js 实现抢票小工具 &amp; 短信通知提醒功能
2019/10/22 Javascript
使用Python脚本在Linux下实现部分Bash Shell的教程
2015/04/17 Python
python写入中英文字符串到文件的方法
2015/05/06 Python
Python通过DOM和SAX方式解析XML的应用实例分享
2015/11/16 Python
Python数据结构之顺序表的实现代码示例
2017/11/15 Python
python字符串下标与切片及使用方法
2020/02/13 Python
Python常用数字处理基本操作汇总
2020/09/10 Python
通过代码简单了解django model序列化作用
2020/11/12 Python
css3遮罩层镂空效果的多种实现方法
2020/05/11 HTML / CSS
什么是Smarty变量操作符?如何使用Smarty变量操作符
2014/07/18 面试题
动态密码技术
2012/10/18 面试题
请问软件开发中的设计模式你会使用哪些
2015/05/13 面试题
万能检讨书2000字
2014/10/17 职场文书
2014年售票员工作总结
2014/11/19 职场文书
新郎婚礼答谢词
2015/01/04 职场文书
小学音乐课教学反思
2016/02/18 职场文书