楊旸 潘俊臣

摘 ? 要：文章研究的是微服務(wù)架構(gòu)系統(tǒng)中的客戶端中間件和登錄驗(yàn)證模塊。為了實(shí)現(xiàn)用戶登錄后，能在瀏覽器端實(shí)現(xiàn)對(duì)ePass3000GM便攜式密碼設(shè)備進(jìn)行讀寫(xiě)卡操作，文章在深入分析OAuth2.0協(xié)議的基礎(chǔ)上，提出了基于OAuth2.0安全認(rèn)證中間件的設(shè)計(jì)與實(shí)現(xiàn)。在中間件與Web服務(wù)端進(jìn)行登錄驗(yàn)證，用戶登錄后通過(guò)Web服務(wù)端重新定向到中間件進(jìn)行讀寫(xiě)卡操作。

關(guān)鍵詞：OAuth2.0;中間件;授權(quán)碼;訪問(wèn)令牌

中圖分類號(hào)：TP393 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： This article studies client middleware and login authentication modules in microservice architecture systems. In order to enable users to log in， the ePass3000GM portable password device can be read and written on the browser. Based on an in-depth analysis of the OAuth2.0 protocol， this paper proposes the design and implementation of a secure authentication middleware based on OAuth2.0. Login verification is performed between the middleware and the web server. After the user logs in， the user is redirected to the middleware through the web server to perform card reading and writing.

Key words： OAuth2.0; middleware; authorization code; access token

1 引言

OAuth[1]（Open Authorization）是一個(gè)關(guān)于開(kāi)放授權(quán)的網(wǎng)絡(luò)標(biāo)準(zhǔn)，國(guó)內(nèi)各大網(wǎng)站都有其應(yīng)用的場(chǎng)景，目前的版本是2.0。OAuth2.0主要用于認(rèn)證授權(quán)登錄，它作為開(kāi)放平臺(tái)認(rèn)證授權(quán)系統(tǒng)的標(biāo)準(zhǔn)協(xié)議而備受關(guān)注。但是，微服務(wù)架構(gòu)（Microservices）的出現(xiàn)以及在國(guó)內(nèi)外的成功應(yīng)用，成為系統(tǒng)架構(gòu)的一種新選擇，很多大型Web服務(wù)等都已經(jīng)從傳統(tǒng)的單塊架構(gòu)遷移到微服務(wù)架構(gòu)[2]。

本文在深入研究OAuth2.0的協(xié)議后，提出了基于OAuth2.0安全認(rèn)證登錄方案，并且實(shí)現(xiàn)了與客戶端中間件通信，從而實(shí)現(xiàn)對(duì)ePass3000GM便攜式密碼設(shè)備的讀寫(xiě)卡操作。本文首先對(duì)OAuth2.0協(xié)議進(jìn)行了詳細(xì)的介紹，然后對(duì)系統(tǒng)架構(gòu)、授權(quán)流程、讀寫(xiě)卡流程及關(guān)鍵技術(shù)展開(kāi)論述，最后得出設(shè)計(jì)的結(jié)果。

2 OAuth2.0

2.1 OAuth2.0協(xié)議

在網(wǎng)絡(luò)技術(shù)日新月異的21世紀(jì)，互聯(lián)網(wǎng)環(huán)境下各部分之間的協(xié)作變得更為緊密，對(duì)數(shù)據(jù)整合與資源共享的要求愈發(fā)強(qiáng)烈，必然呈現(xiàn)出不同Web應(yīng)用數(shù)據(jù)交互的現(xiàn)象。而OAuth協(xié)議正是解決了在“第三方”客戶端不獲取用戶敏感數(shù)據(jù)（密碼）的情況下，允許客戶端在授權(quán)范圍內(nèi)獲取用戶受保護(hù)的基本信息（如用戶名、頭像等）[3]。

OAuth最初發(fā)布的版本為OAuth1.0，后又發(fā)布了OAuth1.0a。在2012年10月發(fā)布了OAuth協(xié)議的第三個(gè)版本，即OAuth2.0。OAuth2.0和之前的兩個(gè)版本并不兼容，它采用了簡(jiǎn)化的簽名機(jī)制[4]。利用SSL（HTTPS）傳輸信息，在提高安全性的同時(shí)，還簡(jiǎn)化了授權(quán)流程。OAuth2.0和此前的兩個(gè)版本相對(duì)比，開(kāi)發(fā)難度大大降低、交互次數(shù)有所減少、授權(quán)流程更加簡(jiǎn)單，從根本上提升了執(zhí)行效率。此外，OAuth2.0協(xié)議新增了多個(gè)授權(quán)模式，為開(kāi)發(fā)者提供了諸多便利。

2.2 OAuth2.0的四種執(zhí)行角色

（1）Resource Owner（RO）：資源擁有者，即能夠允許獲取受保護(hù)資源的實(shí)體。

（2）Client：表示資源擁有者對(duì)受保護(hù)資源提出訪問(wèn)請(qǐng)求的應(yīng)用，本文稱為“客戶端中間件”或“安全認(rèn)證中間件”，簡(jiǎn)稱“中間件”。

（3）Authorization Server（AS）：授權(quán)服務(wù)器，即服務(wù)端專門用來(lái)處理認(rèn)證的服務(wù)器，用于發(fā)放訪問(wèn)令牌。

（4）Resource Server（RS）：資源服務(wù)器，即服務(wù)端存放用戶生成資源的服務(wù)器。它與認(rèn)證的服務(wù)器，可以是同一臺(tái)服務(wù)器，也可以是不同的服務(wù)器。

其中，服務(wù)端包括三個(gè)部分：資源擁有者、授權(quán)服務(wù)器、資源服務(wù)器，用于處理來(lái)自客戶端的授權(quán)請(qǐng)求。

2.3 OAuth2.0運(yùn)行流程

（1）客戶端向資源擁有者發(fā)起授權(quán)請(qǐng)求。

（2）資源擁有者同意并返回授權(quán)許可。

（3）客戶端攜帶授權(quán)許可向授權(quán)服務(wù)器申請(qǐng)?jiān)L問(wèn)令牌。

（4）授權(quán)服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后，確認(rèn)無(wú)誤，同意發(fā)放令牌。

（5）客戶端使用令牌，向資源服務(wù)器申請(qǐng)獲取資源。

（6）資源服務(wù)器對(duì)客戶端發(fā)來(lái)的令牌進(jìn)行確認(rèn)后，同意向發(fā)放受保護(hù)資源，OAuth2.0運(yùn)行流程如圖1所示，

總結(jié)OAuth2.0的運(yùn)行流程可分為三步：第一，獲取用戶授權(quán);第二，發(fā)放訪問(wèn)令牌;第三，發(fā)放受保護(hù)資源。

2.4 客戶端的授權(quán)模式

客戶端必須先拿到授權(quán)許可（Authorization Grant），再取得訪問(wèn)令牌（Access Token），最終獲取受保護(hù)資源。OAuth 2.0定義了四種授權(quán)方式[6]。