[[195847]]

1. 我把密碼獻給你

小梁開發(fā)了一個“信用卡管家”的程序 ， 可以自動從郵箱中讀取信用卡相關(guān)郵件，分析、匯總，形成一個報表。

小梁找到信用卡達人張大胖試用 ： “你的信用卡那么多，看看我這個程序吧， 保準你會愛死它。”

張大胖嘗試了幾下說： “咦，你這個程序要讀取我的網(wǎng)易郵箱啊，那需要用戶名/密碼吧”

“是啊 ， 你把密碼告訴輸入程序不就行了， 我的程序替你加密保存，保證不會泄露。”

“得了吧你， 我可不會告訴你我的密碼， 為了方便記憶， 我的密碼都是通用的， 萬一泄露了就完蛋了”

小梁說：“這樣吧，我不保存，我就訪問郵箱的時候使用一次， 用完就扔!”

“你以為你是阿里巴巴啊， 有信用背書， 你只是個小網(wǎng)站， 我把密碼獻給你，總是覺得不安全。就是我信任你，別人能信任你嗎?”

小梁想想也是， 這是一個巨大的心理障礙， 每個人都要誓死捍衛(wèi)自己的密碼啊。

2. Token

過了一周， 小梁興致勃勃地把張大胖拉來看“信用卡管家”的升級版。

“升級為2.0了啊， 這次不用問你要網(wǎng)易郵箱的用戶名和密碼了”

“那你怎么訪問我的郵箱?”

“很簡單，我提供了一個新的入口，使用網(wǎng)易賬號登錄， 你點了以后，其實就會重定向到網(wǎng)易的認證系統(tǒng)去登錄， 網(wǎng)易的認證系統(tǒng)會讓你輸入用戶名和密碼，并且詢問你是否允許信用卡管家訪問網(wǎng)易郵箱， 你確認了以后，就再次重定向到我的‘信用卡管家’網(wǎng)站， 同時捎帶一個‘token’ 過來， 我用這個token 就可以通過API來訪問網(wǎng)易郵箱了。 在這個過程中， 我根本不會接觸到你的用戶名和密碼，怎么樣， 這下滿意了吧?”

“你說得輕松， 你這個信用卡管家是個小網(wǎng)站，還沒有什么名氣， 網(wǎng)易怎么會相信你這個網(wǎng)站呢?”

“我當然要先在網(wǎng)易注冊一下啊， 他們會給我發(fā)個app_id 和app_secret， 我重定向到網(wǎng)易的時候需要把這個東西發(fā)過去， 這樣網(wǎng)易就知道是‘信用卡管家’這個應(yīng)用在申請授權(quán)了。”

張大胖說： “ 你這重定向來重定向去的， 實際上不就是為了拿到一個token 嗎?”

“對啊，因為你不信任我的信用卡管家， 不讓它保存你的密碼，只好用token的方法了 , 它是網(wǎng)易認證中心頒發(fā)的，實際上就代表了你對信用卡管家訪問郵箱的授權(quán)，所以有了這個token 就可以訪問你的郵箱了”

"對了" 張大胖問題， “你為什么用Javascript的方式來讀取token啊”

“這樣我的后端服務(wù)器就不用參與了，工作都在前端搞定， 你注意到那個URL中的#號了嗎? www.a.com/callback#token=<網(wǎng)易返回的token>”

張大胖說： “我知道啊，這個東西叫做hash fragment, 只會停留在瀏覽器端， 只有Javascript 能訪問它，并且它不會再次通過http request 發(fā)到別的服務(wù)器器， 我想這是為了提高安全性吧。”

小梁說： “沒錯， 那個token非常非常重要，得妥善保存，不能泄露!”

“可是在第6步通過重定向，這個token 以明文的方式發(fā)送給了我的瀏覽器， 雖然是https ，不會被別人竊取，可是瀏覽器的歷史記錄或者訪問日志中就能找到， 豈不暴露了?”

小梁說： “這個.... ， 我說你這個家伙，安全意識很強烈嘛， 讓我想想，有沒有更安全的方式。"

3. Authorization Code + Token

又過了一周，小梁成功地把信用卡管家升級為3.0.

他對張大胖說： “這次我成功地把那個非常重要的、表示授權(quán)的token 給隱藏起來了， 你要不要看看?”

“你先說說你是怎么隱藏的?”

“其實整體思路和之前的類似，只是我引入了一個叫做Authorization Code 的中間層。 當你用網(wǎng)易賬號登錄的時候， 網(wǎng)易認證中心這一次不給我直接發(fā)token,而是發(fā)一個授權(quán)碼(authorization code) , 我的信用卡管家服務(wù)器端取到這個code以后，在后臺再次訪問網(wǎng)易認證中心， 這一次他才發(fā)給我真正的token 。 還是直接上圖吧：”

張大胖說： “還比較容易理解， 本質(zhì)上就是你拿著這個返回的授權(quán)碼在服務(wù)器后臺‘偷偷地’完成申請token 的過程， 所以token 瀏覽器端根本就接觸不到，對吧?”

“什么叫偷偷地申請token ? 這是我信用卡管家服務(wù)器和網(wǎng)易之間的正常交流， 只是你看不到而已。”

“開個玩笑了， 你雖然隱藏了token,但是這個授權(quán)碼確是暴露了啊，你看第7步，我在瀏覽器中都能明文看到， 要是被誰取到， 不也是照樣能取到token嗎?”

小梁說： “我們肯定有防御措施， 比如這個授權(quán)碼和我的信用卡管家申請的app_id，app_secret關(guān)聯(lián)， 只有信用卡管家發(fā)出的token請求， 網(wǎng)易認證中心才認為合法; 還可以讓授權(quán)碼有時間限制，比如5分鐘失效，還有可以讓授權(quán)碼只能換一次token, 第二次就不行了。 ”

“聽起來似乎不錯， 好吧， 這次我可以放心地使用了!”

4. 后記

本文講的其實就是就是OAuth 中的三種認證方式，依次是：

1. Resource Owner Password Credentials Grant(資源所有者密碼憑據(jù)許可)

2. Implicit Grant(隱式許可)

3. Authorization Code Grant(授權(quán)碼許可)

還有一種叫做Client credentials ,用的較少，文章沒有涉及。

【本文為51CTO專欄作者“劉欣”的原創(chuàng)稿件，轉(zhuǎn)載請通過作者微信公眾號coderising獲取授權(quán)】

戳這里，看該作者更多好文