nodejs实现OAuth2.0授权服务认证


Posted in NodeJs onDecember 27, 2017

OAuth是一种开发授权的网络标准,全拼为open authorization,即开放式授权,最新的协议版本是2.0。

举个栗子:

有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。

传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。

  1. "云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
  2. Google不得不部署密码登录,而我们知道,单纯的密码登录并不安全。
  3. "云冲印"拥有了获取用户储存在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
  4. 用户只有修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效。
  5. 只要有一个第三方应用程序被破解,就会导致用户密码泄漏,以及所有被密码保护的数据泄漏。

所以OAuth就诞生了!

  1. Third-party application:第三方应用程序,本文中又称"客户端"(client),即上一节例子中的"云冲印"。
  2. HTTP service:HTTP服务提供商,本文中简称"服务提供商",即上一节例子中的Google。
  3. Resource Owner:资源所有者,本文中又称"用户"(user)。
  4. User Agent:用户代理,本文中就是指浏览器。
  5. Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
  6. Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

登录层提供令牌(token)的生成,其中token包括:有效期、权限范围。客户端拿到token去访问受限资源。

  1. access_token:请求资源时需要携带的token,即访问token。
  2. refresh_token:刷新token,如果access_token过期,可以使用该token获取一份新的access_token和新的refresh_token。一般refresh_token时效性较长,比如一年,而access_token时效性较短,比如几分钟。
  3. 权限范围:即指定客户端可以获取的资源权限范围。

OAuth授权模式

OAuth有四种授权模式,分别为:

  1. 授权码模式(authorization code)
  2. 简化模式(implicit)
  3. 密码模式(resource owner password credentials)
  4. 客户端模式(client credentials)

1、授权码模式

授权码模式是最为严密的授权模式,整体流程为:浏览器携带必要信息至授权页面,正常登录成功后,返回一个code(授权码),客户端拿到code后在后台获取拿code换取token。

nodejs实现OAuth2.0授权服务认证

nodejs实现OAuth2.0授权服务认证

2、密码模式

密码模式,简单地理解即为使用用户名密码等参数获取access_token,它的步骤如下:

  1. 用户向客户端提供用户名和密码。
  2. 客户端将用户名和密码发给认证服务器,向后者请求令牌。
  3. 认证服务器确认无误后,向客户端提供访问令牌。

nodejs实现OAuth2.0授权服务认证

3、refresh_token的应用

refresh_token被用来获取新的access_token和refresh_token,使用方式简单如下:

nodejs实现OAuth2.0授权服务认证

refresh_token无效:

nodejs实现OAuth2.0授权服务认证

使用nodejs实现OAuth授权服务

技术栈:

  1. nodejs + eggjs
  2. eggjs-oAuth-server插件

具体可以参考:
https://github.com/Azard/egg-oauth2-server
https://cnodejs.org/topic/592b2aedba8670562a40f60b

1、code grant模式测试及单点登录实现

这里我们构建两个站点,一个是7001端口(授权服务),一个是7002端口(客户端),授权模式为code grant。

首先是客户端登录页:

nodejs实现OAuth2.0授权服务认证

单击按钮后直接登录:

nodejs实现OAuth2.0授权服务认证

可以发现,浏览器重定向到授权服务地址,并携带了response_type、client_id、redirect_uri三个参数,登录成功后,浏览器会重定向到redirect_uri指定的地址,即这里的*http://127.0.0.1:7002/auth/redirect*:

如下为授权服务的登录页写法

<form action="/oauth2/authorize?{{query}}" id="form1" name="f" method="post">
  <div class="input_outer">
    <span class="u_user"></span>
    <input name="username" class="text" style="color: #FFFFFF !important" type="text" placeholder="请输入账户">
  </div>
  <div class="input_outer">
    <span class="us_uer"></span>
    <input name="password" class="text" style="color: #FFFFFF !important; position:absolute; z-index:100;"value="" type="password" placeholder="请输入密码">
  </div>
  <div class="mb2"><a class="act-but submit" href="javascript:;" rel="external nofollow" onclick="document.getElementById('form1').submit()" style="color: #FFFFFF">登录</a></div>
</form>

这里的${query}即为客户端登录重定向携带的完整query,然后是/oauth2/authorize路由的写法:

app.all('/oauth2/authorize', app.oAuth2Server.authorize());// 获取授权码

这里调用app.oAuth2Server.authorize()时,插件会自动执行重定向操作,首先是重定向到客户端指定地址,客户端拿到code和state后,再去授权层获取token:

async redirect(){
  // 服务端重定向过来的
  console.log(this.ctx.query)
  const result = await this.ctx.curl('http://127.0.0.1:7001/users/token', {
   dataType: 'json',
   // contentType: 'application/x-www-form-urlencoded', // 默认格式
   method: 'POST',
   timeout: 3000,
   data: {
    grant_type: 'authorization_code',
    code: this.ctx.query.code,
    state: this.ctx.query.state,
    client_id: client_id,
    client_secret: client_secret,
    redirect_uri: redirect_uri,
   }
  });
  this.ctx.body = result.data;
 }

获取到token后正常返回:

nodejs实现OAuth2.0授权服务认证

2、password grant模式测试

首先使用username、password获取access_token:

nodejs实现OAuth2.0授权服务认证

用户名或密码错误时返回:

nodejs实现OAuth2.0授权服务认证

使用token获取授权资源正常返回:

nodejs实现OAuth2.0授权服务认证

以上内容完整源码参考:https://github.com/caiya/eggjs-oAuth2-server

总结

  1. OAuth实际使用时要上https,包括客户端和授权服务端
  2. 授权服务可以使用私钥签名,客户端使用公钥验证,从而保证数据安全性

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
golang、python、php、c++、c、java、Nodejs性能对比
Mar 12 NodeJs
nodejs实用示例 缩址还原
Dec 28 NodeJs
Nodejs+express+html5 实现拖拽上传
Aug 08 NodeJs
Nodejs中读取中文文件编码问题、发送邮件和定时任务实例
Jan 01 NodeJs
Nodejs为什么选择javascript为载体语言
Jan 13 NodeJs
详解nodejs与javascript中的aes加密
May 22 NodeJs
使用nodejs下载风景壁纸
Feb 05 NodeJs
Nodejs回调加超时限制两种实现方法
Jun 09 NodeJs
nodejs中sleep功能实现暂停几秒的方法
Jul 12 NodeJs
nodejs async异步常用函数总结(推荐)
Nov 17 NodeJs
深入理解nodejs搭建静态服务器(实现命令行)
Feb 05 NodeJs
浅谈Node的内存泄露问题
May 06 NodeJs
使用nodejs+express实现简单的文件上传功能
Dec 27 #NodeJs
nodejs超出最大的调用栈错误问题
Dec 27 #NodeJs
nodejs实现简单的gulp打包
Dec 21 #NodeJs
nodejs调取微信收货地址的方法
Dec 20 #NodeJs
基于nodejs实现微信支付功能
Dec 20 #NodeJs
nodeJS微信分享
Dec 20 #NodeJs
NodeJS爬虫实例之糗事百科
Dec 14 #NodeJs
You might like
Zend Studio for Eclipse的java.lang.NullPointerException错误的解决方法
2008/12/06 PHP
php 中英文语言转换类代码
2011/08/11 PHP
php xml常用函数的集合(比较详细)
2013/06/06 PHP
用JS写的一个TableView控件代码
2010/01/23 Javascript
取得窗口大小 兼容所有浏览器的js代码
2011/08/09 Javascript
range 标准化之获取
2011/08/28 Javascript
js模仿html5 placeholder适应于不支持的浏览器
2013/01/13 Javascript
Javascript添加监听与删除监听用法详解
2014/12/19 Javascript
jQuery中$.each使用详解
2015/01/29 Javascript
深入解析JavaScript编程中的this关键字使用
2015/11/09 Javascript
Select下拉框模糊查询功能实现代码
2016/07/22 Javascript
利用Plupload.js解决大文件上传问题, 带进度条和背景遮罩层
2017/03/15 Javascript
vue.js学习之vue-cli定制脚手架详解
2017/07/02 Javascript
JS简单实现动态添加HTML标记的方法示例
2018/04/08 Javascript
JS实现获取word文档内容并输出显示到html页面示例
2018/06/23 Javascript
vue如何解决循环引用组件报错的问题
2018/09/22 Javascript
jQuery实现的五星点评功能【案例】
2019/02/18 jQuery
浅谈vue-router路由切换 组件重用挖下的坑
2019/11/01 Javascript
基于vue+element实现全局loading过程详解
2020/07/10 Javascript
解决vue init webpack 下载依赖卡住不动的问题
2020/11/09 Javascript
使用vue3重构拼图游戏的实现示例
2021/01/25 Vue.js
python类型强制转换long to int的代码
2013/02/10 Python
python操作xml文件详细介绍
2014/06/09 Python
Python爬取qq music中的音乐url及批量下载
2017/03/23 Python
浅谈Python用QQ邮箱发送邮件时授权码的问题
2018/01/29 Python
如何基于Python实现电子邮件的发送
2019/12/16 Python
Python随机数函数代码实例解析
2020/02/09 Python
jupyter notebook参数化运行python方式
2020/04/10 Python
浅谈Python3多线程之间的执行顺序问题
2020/05/02 Python
YOOX美国官方网站:全球著名的多品牌时尚网络概念店
2016/09/11 全球购物
Myprotein加拿大官网:欧洲第一的运动营养品牌
2018/01/06 全球购物
班班通项目实施方案
2014/02/25 职场文书
学历公证委托书
2014/04/09 职场文书
法人代表证明书格式
2014/10/01 职场文书
小学安全工作总结2015
2015/05/18 职场文书
OpenCV-Python使用cv2实现傅里叶变换
2021/06/09 Python