托尼哥的玩具博客
·
OAuth2 Server数据存储设计
💡
原文中文,约11100字,阅读约需27分钟。
📝
内容提要
OAuth2是一个授权框架,定义了四种基础的授权方式:授权码模式、简化模式、密码模式和凭证模式。授权码模式是最常见且最安全的授权方式。授权服务器的后端设计需要提供注册客户端、发起授权、兑换授权令牌、刷新令牌、验证令牌等接口。数据存储可以采用一张表存储所有授权相关信息,或将授权码单独存储,将访问令牌和刷新令牌存储在一张表中。
🎯
关键要点
- OAuth是一个授权框架,当前版本为2.0,称为OAuth2.0。
- OAuth的核心是用户授予第三方使用其资源的权限。
- OAuth2定义了四种授权方式:授权码模式、简化模式、密码模式和凭证模式。
- 授权码模式是最常见且最安全的授权方式,适用于有后端存储的应用。
- 简化模式适用于纯前端应用,直接在前端接收Access Token。
- 密码模式允许用户直接将用户名和密码传输给客户端,适用于高度信任的情况。
- 凭证模式允许客户端以自己的名义申请授权,适用于没有前端的命令行应用。
- OAuth2的核心流程包括用户授权、获取授权码、兑换Access Token等步骤。
- 授权服务器需要提供注册客户端、发起授权、兑换令牌、刷新令牌、验证令牌等接口。
- 数据存储可以采用一张表存储所有授权相关信息,或将授权码单独存储。
- Refresh Token的滚动处理和安全性增强是设计时需要注意的点。
- Token设计可以分为富Token和瘦Token,影响存储方式。
- 推荐使用折中处理,将授权码单独存储,Access Token和Refresh Token一起保存。
➡️
