背景

2010年, OAuth 授權(quán)規(guī)范 1.0 (rfc 5849) 版本發(fā)布, 2年后, 更簡(jiǎn)單易用的 OAuth 2.0 規(guī)范發(fā)布（rfc 6749）, 這也是大家最熟悉并且在互聯(lián)網(wǎng)上使用最廣泛的版本, 在2012年的時(shí)候, iPhone 5 是全新的, 微軟最新的瀏覽器還是 IE9, 單頁(yè)面應(yīng)用在當(dāng)時(shí)還被稱作 "Ajax 應(yīng)用", CORS（跨域資源共享）還不是一個(gè)W3C標(biāo)準(zhǔn)。

到現(xiàn)在, 網(wǎng)絡(luò)和移動(dòng)領(lǐng)域發(fā)生了巨大的變化, 當(dāng)時(shí)發(fā)布的授權(quán)協(xié)議標(biāo)準(zhǔn)已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足現(xiàn)在的場(chǎng)景和需求, 為了應(yīng)對(duì)這種不斷變化的局面, OAuth 社區(qū)多年來(lái)一直在修補(bǔ)和擴(kuò)展 OAuth 規(guī)范, OAuth 的格局也不斷擴(kuò)大, 越來(lái)越多的圍繞 OAuth 2.0 core 的擴(kuò)展授權(quán)規(guī)范出現(xiàn), 也讓 OAuth 2.0 整體看起來(lái)就像一個(gè)迷宮一樣。

不斷進(jìn)化的 OAuth 2.0

在 OAuth 2.0 核心規(guī)范 (RFC 6749)中, 定義了四種授權(quán)類型：授權(quán)碼、隱式、密碼和客戶端憑據(jù), 如下:

相信大家都很熟悉, 在 OAuth 2.0 中,最安全也是使用最普遍的就是授權(quán)碼模式, 而對(duì)于本地應(yīng)用，移動(dòng)應(yīng)用來(lái)說(shuō), 通常會(huì)使用隱式和密碼授權(quán), 這兩種本身就是不安全的, 因?yàn)檫@些屬于公開的客戶端, 本身沒有能力保護(hù)客戶端機(jī)密, 但是當(dāng)時(shí)并沒有其它好的方案。

為了解決 OAuth 2.0 對(duì)公開客戶端的授權(quán)安全問題, PKCE （RFC 6379）協(xié)議應(yīng)運(yùn)而生, 全稱是 Proof Key for Code Exchange，PKCE 的原理是, 對(duì)于公共的客戶端, 如果不能使用客戶端秘鑰（client_secret）, 那客戶端就提供一個(gè)自創(chuàng)建的證明 (code_verifier) 給授權(quán)服務(wù)器，其中使用了加密算法, 授權(quán)服務(wù)器通過它來(lái)驗(yàn)證客戶端。

后來(lái)，"OAuth 2.0 for Native Apps"（RFC 8252）規(guī)范發(fā)布，推薦原生應(yīng)用也使用授權(quán)碼 + PKCE。

隨著技術(shù)不斷地發(fā)展, 出現(xiàn)了設(shè)備授權(quán)的場(chǎng)景, 這里設(shè)備指智能電視，打印機(jī)等, 和傳統(tǒng)的PC或者手機(jī)不同, 這種設(shè)備是缺少瀏覽器或者鍵盤的,那 OAuth 2.0 常規(guī)的授權(quán)模式肯定是不能滿足的, 于是就出現(xiàn)了設(shè)備授權(quán)(Device Grant) 。

在 OAuth 2.0 安全最佳實(shí)踐（Security BCP）中, 棄用了隱式和密碼授權(quán)，并且推薦所有的客戶端都應(yīng)該使用 Authorization Code + PKCE 的組合。

最終, 調(diào)整后的 OAuth 授權(quán)模式會(huì)更加精簡(jiǎn), 轉(zhuǎn)換成下面三種, 這也是 OAuth 2.1 的思想, 參考安全最佳實(shí)踐(BCP)，取其精華, 去其糟粕。

總結(jié)

歸根結(jié)底, OAuth 2.1 并不是要推翻 OAuth 2.0，而是根據(jù)其安全最佳實(shí)踐(BCP), 移除不安全的授權(quán)流程, 并且對(duì)擴(kuò)展協(xié)議進(jìn)行整合, 讓原本復(fù)雜如迷宮的 OAuth 2.0 規(guī)范成為更易用，更安全的授權(quán)規(guī)范。

References

The OAuth 1.0 Protocol^[1]
The OAuth 2.0 Authorization Framework^[2]
The OAuth 2.1 Authorization Framework draft-ietf-oauth-v2-1-04^[3]
It's Time for OAuth 2.1^[4]
OAuth 2.0 for Native Apps^[5]
OAuth 2.0 Device Authorization Grant^[6]?Proof Key for Code Exchange by OAuth Public Clients^[7]

相關(guān)鏈接

[1]?The OAuth 1.0 Protocol:?https://datatracker.ietf.org/doc/html/rfc5849
[2]?The OAuth 2.0 Authorization Framework:?https://www.rfc-editor.org/rfc/rfc6749
[3]?The OAuth 2.1 Authorization Framework draft-ietf-oauth-v2-1-04:?https://datatracker.ietf.org/doc/draft-ietf-oauth-v2-1/
[4]?It's Time for OAuth 2.1:?https://aaronparecki.com/2019/12/12/21/its-time-for-oauth-2-dot-1
[5]?OAuth 2.0 for Native Apps:?https://www.rfc-editor.org/rfc/rfc8252.html
[6]?OAuth 2.0 Device Authorization Grant:?https://datatracker.ietf.org/doc/html/rfc8628
[7]?Proof Key for Code Exchange by OAuth Public Clients:?https://www.rfc-editor.org/rfc/rfc7636.html

總結(jié)

以上是生活随笔為你收集整理的OAuth 2.1 的进化之路的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。