nodejs实现OAuth2.0授权服务认证


Posted in NodeJs onDecember 27, 2017

OAuth是一种开发授权的网络标准,全拼为open authorization,即开放式授权,最新的协议版本是2.0。

举个栗子:

有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。

传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。

  1. "云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
  2. Google不得不部署密码登录,而我们知道,单纯的密码登录并不安全。
  3. "云冲印"拥有了获取用户储存在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
  4. 用户只有修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效。
  5. 只要有一个第三方应用程序被破解,就会导致用户密码泄漏,以及所有被密码保护的数据泄漏。

所以OAuth就诞生了!

  1. Third-party application:第三方应用程序,本文中又称"客户端"(client),即上一节例子中的"云冲印"。
  2. HTTP service:HTTP服务提供商,本文中简称"服务提供商",即上一节例子中的Google。
  3. Resource Owner:资源所有者,本文中又称"用户"(user)。
  4. User Agent:用户代理,本文中就是指浏览器。
  5. Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
  6. Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

登录层提供令牌(token)的生成,其中token包括:有效期、权限范围。客户端拿到token去访问受限资源。

  1. access_token:请求资源时需要携带的token,即访问token。
  2. refresh_token:刷新token,如果access_token过期,可以使用该token获取一份新的access_token和新的refresh_token。一般refresh_token时效性较长,比如一年,而access_token时效性较短,比如几分钟。
  3. 权限范围:即指定客户端可以获取的资源权限范围。

OAuth授权模式

OAuth有四种授权模式,分别为:

  1. 授权码模式(authorization code)
  2. 简化模式(implicit)
  3. 密码模式(resource owner password credentials)
  4. 客户端模式(client credentials)

1、授权码模式

授权码模式是最为严密的授权模式,整体流程为:浏览器携带必要信息至授权页面,正常登录成功后,返回一个code(授权码),客户端拿到code后在后台获取拿code换取token。

nodejs实现OAuth2.0授权服务认证

nodejs实现OAuth2.0授权服务认证

2、密码模式

密码模式,简单地理解即为使用用户名密码等参数获取access_token,它的步骤如下:

  1. 用户向客户端提供用户名和密码。
  2. 客户端将用户名和密码发给认证服务器,向后者请求令牌。
  3. 认证服务器确认无误后,向客户端提供访问令牌。

nodejs实现OAuth2.0授权服务认证

3、refresh_token的应用

refresh_token被用来获取新的access_token和refresh_token,使用方式简单如下:

nodejs实现OAuth2.0授权服务认证

refresh_token无效:

nodejs实现OAuth2.0授权服务认证

使用nodejs实现OAuth授权服务

技术栈:

  1. nodejs + eggjs
  2. eggjs-oAuth-server插件

具体可以参考:
https://github.com/Azard/egg-oauth2-server
https://cnodejs.org/topic/592b2aedba8670562a40f60b

1、code grant模式测试及单点登录实现

这里我们构建两个站点,一个是7001端口(授权服务),一个是7002端口(客户端),授权模式为code grant。

首先是客户端登录页:

nodejs实现OAuth2.0授权服务认证

单击按钮后直接登录:

nodejs实现OAuth2.0授权服务认证

可以发现,浏览器重定向到授权服务地址,并携带了response_type、client_id、redirect_uri三个参数,登录成功后,浏览器会重定向到redirect_uri指定的地址,即这里的*http://127.0.0.1:7002/auth/redirect*:

如下为授权服务的登录页写法

<form action="/oauth2/authorize?{{query}}" id="form1" name="f" method="post">
  <div class="input_outer">
    <span class="u_user"></span>
    <input name="username" class="text" style="color: #FFFFFF !important" type="text" placeholder="请输入账户">
  </div>
  <div class="input_outer">
    <span class="us_uer"></span>
    <input name="password" class="text" style="color: #FFFFFF !important; position:absolute; z-index:100;"value="" type="password" placeholder="请输入密码">
  </div>
  <div class="mb2"><a class="act-but submit" href="javascript:;" rel="external nofollow" onclick="document.getElementById('form1').submit()" style="color: #FFFFFF">登录</a></div>
</form>

这里的${query}即为客户端登录重定向携带的完整query,然后是/oauth2/authorize路由的写法:

app.all('/oauth2/authorize', app.oAuth2Server.authorize());// 获取授权码

这里调用app.oAuth2Server.authorize()时,插件会自动执行重定向操作,首先是重定向到客户端指定地址,客户端拿到code和state后,再去授权层获取token:

async redirect(){
  // 服务端重定向过来的
  console.log(this.ctx.query)
  const result = await this.ctx.curl('http://127.0.0.1:7001/users/token', {
   dataType: 'json',
   // contentType: 'application/x-www-form-urlencoded', // 默认格式
   method: 'POST',
   timeout: 3000,
   data: {
    grant_type: 'authorization_code',
    code: this.ctx.query.code,
    state: this.ctx.query.state,
    client_id: client_id,
    client_secret: client_secret,
    redirect_uri: redirect_uri,
   }
  });
  this.ctx.body = result.data;
 }

获取到token后正常返回:

nodejs实现OAuth2.0授权服务认证

2、password grant模式测试

首先使用username、password获取access_token:

nodejs实现OAuth2.0授权服务认证

用户名或密码错误时返回:

nodejs实现OAuth2.0授权服务认证

使用token获取授权资源正常返回:

nodejs实现OAuth2.0授权服务认证

以上内容完整源码参考:https://github.com/caiya/eggjs-oAuth2-server

总结

  1. OAuth实际使用时要上https,包括客户端和授权服务端
  2. 授权服务可以使用私钥签名,客户端使用公钥验证,从而保证数据安全性

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
基于nodejs+express(4.x+)实现文件上传功能
Nov 23 NodeJs
Nodejs进阶:基于express+multer的文件上传实例
Nov 21 NodeJs
nodejs模块nodemailer基本使用-邮件发送示例(支持附件)
Mar 28 NodeJs
深入学习nodejs中的async模块的使用方法
Jul 12 NodeJs
使用vs code开发Nodejs程序的使用方法
Sep 21 NodeJs
NodeJS父进程与子进程资源共享原理与实现方法
Mar 16 NodeJs
nodejs(officegen)+vue(axios)在客户端导出word文档的方法
Jul 31 NodeJs
nodejs使用async模块同步执行的方法
Mar 02 NodeJs
nodejs使用socket5进行代理请求的实现
Feb 21 NodeJs
浅谈使用nodejs搭建web服务器的过程
Jul 20 NodeJs
用Nodejs实现在终端中炒股的实现
Oct 18 NodeJs
详解nodejs内置模块
May 06 NodeJs
使用nodejs+express实现简单的文件上传功能
Dec 27 #NodeJs
nodejs超出最大的调用栈错误问题
Dec 27 #NodeJs
nodejs实现简单的gulp打包
Dec 21 #NodeJs
nodejs调取微信收货地址的方法
Dec 20 #NodeJs
基于nodejs实现微信支付功能
Dec 20 #NodeJs
nodeJS微信分享
Dec 20 #NodeJs
NodeJS爬虫实例之糗事百科
Dec 14 #NodeJs
You might like
第六节 访问属性和方法 [6]
2006/10/09 PHP
基于PHP文件操作的详细诠释
2013/06/21 PHP
php中用memcached实现页面防刷新功能
2014/08/19 PHP
PHP文件系统管理(实例讲解)
2017/09/19 PHP
JS 文件本身编码转换 图文教程
2009/10/12 Javascript
nodejs npm包管理的配置方法及常用命令介绍
2014/06/05 NodeJs
jQuery中noConflict()用法实例分析
2015/02/08 Javascript
JavaScript原生xmlHttp与jquery的ajax方法json数据格式实例
2015/12/04 Javascript
javascript RegExp 使用说明
2016/05/21 Javascript
HTML5+jQuery实现搜索智能匹配功能
2017/03/24 jQuery
浅谈Vuex@2.3.0 中的 state 支持函数申明
2017/11/22 Javascript
Vue.directive 自定义指令的问题小结
2018/03/04 Javascript
Vue触发隐藏input file的方法实例详解
2019/08/14 Javascript
js中console在一行内打印字符串和对象的方法
2019/09/10 Javascript
vue 解决uglifyjs-webpack-plugin打包出现报错的问题
2020/08/04 Javascript
在Apache服务器上同时运行多个Django程序的方法
2015/07/22 Python
python用模块zlib压缩与解压字符串和文件的方法
2016/12/16 Python
Python实现的弹球小游戏示例
2017/08/01 Python
Python实现按特定格式对文件进行读写的方法示例
2017/11/30 Python
教你用一行Python代码实现并行任务(附代码)
2018/02/02 Python
python 定时任务去检测服务器端口是否通的实例
2019/01/26 Python
解决Numpy中sum函数求和结果维度的问题
2019/12/06 Python
Python实现投影法分割图像示例(二)
2020/01/17 Python
5款实用的python 工具推荐
2020/10/13 Python
python openssl模块安装及用法
2020/12/06 Python
彪马荷兰官网:PUMA荷兰
2019/05/08 全球购物
英国在线照明超市:Castlegate Lights
2019/10/30 全球购物
美国儿童服装、家具和玩具精品店:Maisonette
2019/11/24 全球购物
人力资源管理专业毕业生推荐信
2013/11/07 职场文书
工业设计专业自荐书
2014/06/05 职场文书
师范生求职信
2014/06/14 职场文书
税务干部个人整改措施思想汇报
2014/10/10 职场文书
2016年寒假社会实践活动总结
2015/03/27 职场文书
2015年大学生工作总结
2015/04/21 职场文书
军事理论课感想
2015/08/11 职场文书
vue实现同时设置多个倒计时
2021/05/20 Vue.js