本文永久链接 – https://tonybai.com/2023/12/22/understand-oidc-by-example

在《通过实例理解OAuth2》一文中，我们以实例方式讲解了OAuth2授权码模式(Authorization Code)模式的工作原理。实例中的照片冲印服务经过用户(tonybai)的授权后，使用用户提供的code(实则是由授权服务器分配并通过用户的浏览器重定向到照片冲印服务的)到授权服务器换取了access token，并最终使用access token从云盘系统中读取到了用户的照片信息。

不过，拿到了access token的照片冲印服务并不知道这个access token代表的是云盘服务上的哪个用户，要不是云盘服务在照片list接口返回了用户名(tonybai)，照片冲印服务还需要自己为授权给它的用户创建一个临时的用户id标识。当tonybai用户一周后再次访问照片冲印服务时，照片冲印服务还需要再走一次OAuth2授权流程，这对用户的体验并不好。

从照片冲印服务角度来说，它希望在用户第一次使用服务并授权时，就能得到用户身份信息，将用户加入到自己的用户体系中，并通过类似基于会话的身份认证机制在用户后续使用服务时自动识别并认证用户身份。这样，既可以避免用户额外单独注册账号的不佳体验，又可以避免用户下次使用服务时繁琐地授权过程。

然而，尽管OAuth 2.0是一个需要用户交互的安全协议，但它终归不是身份认证协议。但很多像照片冲印服务这样的应用还有通过像云盘系统这一的大厂应用进行用户身份认证的强烈需求，于是有很多厂商都制定了各自专用的标准，比如Facebook、Twitter、LinkedIn和GitHub等，但这些都是专用协议，缺乏标准性，开发者要逐一开发和适配。

于是OpenID基金会基于OAuth2.0制定了OpenID Connect(简称OIDC)这样的开放身份认证协议标准，可以在不同厂商之间通用。

在这篇文章中，我们就来介绍一下基于OpenID的身份认证原理，有了上一篇OAuth2做铺垫，OIDC理解起来就非常容易了。

1. OpenID Connect(OIDC)简介

OpenID Connect是一个开放标准，由OpenID基金会于2014年2月发布。它定义了一种使用OAuth 2.0执行用户身份认证的互通方式。由于该协议的设计具有互通性，一个OpenID客户端应用可以使用同一套协议语言与不同的身份提供者交互，而不需要为每一个身份提供者实现一套有细微差别的协议。OpenID Connect直接基于OAuth 2.0构建，并保持了OAuth2.0的兼容性。现实世界中，在多数情况下，OIDC都会与保护其他API的OAuth基础架构部署在一起。

我们在学习OAuth 2.0时，首先了解了该协议涉及的几个实体，如Client、Authorization Server、Resource Server、Resource owner、Protected resouce等，以及它们的交互流程。知道了这些也就掌握了OAuth2的内核。以此为鉴，我们学习OIDC协议，也从了解都有哪些实体参与了协议交互，以及它们的具体交互流程开始。

OpenID Connect是一个协议套件(OpenID Connect Protocol Suite)，涉及Core、Discovery、Dynamic Client Registration等：

不过这里我们仅聚焦OpenID Connect的core 1.0协议规范。

就像OAuth2.0支持四种授权模式一样，OIDC基于这四种模式，整合出了三种身份认证类型：

• Authentication using the Authorization Code Flow
• Authentication using the Implicit Flow
• Authentication using the Hybrid Flow

其中Authentication using the Authorization Code Flow这种基于OAuth2授权码流程的身份认证方案应该是使用最为广泛的，本文也将基于这个流程对OIDC进行理解，并赋以实例。

1.1 OIDC协议中的实体与交互流程图

下面是OIDC规范中给出的通用的身份认证流程图，这个图是高度抽象的，适合上面三个flow：

通过这个图，我们先来认识参与OIDC流程中的三个实体：

• RP(Relying Party)

图的最左端是一个叫RP的实体，如果对应到OAuth2.0那篇文章中的示例，这个RP对应的就是示例中的照片冲印服务，也就是OAuth2.0中的Client，即需要用户(EU)授权的那个实体。

• OP(OpenID Provider)

OP对应的是OAuth2.0中的Authorization Server+Resource Server，不同的是在OIDC这个特殊场景下，Resource Server中存储的resource就是用户的身份信息。

• EU(End User)

EU，顾名思义就是使用RP服务的用户，它对应OAuth2.0中的Resource Owner。

结合这些实体、上面的抽象流程图以及OAuth2授权码模式的交互图，我画一下OIDC基于授权码模式进行身份认证的实体间的交互图，这里我们依旧以用户使用照片冲印服务为例：

上图就是一个基于授权码流程的OIDC协议流程，是不是赶脚跟OAuth 2.0中的授权码模式的流程几乎完全一致啊!

唯一的区别就是授权服务器(OP)在返回access_token的同时，还多返回了一个ID_TOKEN，我们称这个ID_TOKEN为ID令牌，这个令牌是OIDC身份认证的关键。

1.2 ID_TOKEN的组成

从上图中，我们看到ID_TOKEN与普通的OAuth access_token一起提供给Client(RP)使用，与access_token不同的是，RP是需要对ID_TOKEN进行解析的。那么这个ID_TOKEN究竟是什么呢？在OIDC协议中，ID_TOKEN是一个经过签名的JWT，

OIDC协议规范规定了该jwt应该包含的字段信息，包括必选的(REQUIRED)与可选的(OPTIONAL)，在这里我们了解下面的必选字段信息即可：

• iss

令牌的颁发者，其值就是身份认证服务（OP）的URL，比如：http://open.my-yunpan.com:8081/oauth/token，不包含问号作为前缀的查询参数等。

• sub

令牌的主题标识符，其值是最终用户(EU)在身份认证服务(OP)内部的唯一且永不重新分配的标识符。

• aud

令牌的目标受众，其值是Client（RP）的标识，必须包含RP的OAuth 2.0客户端ID(client_id)，也可以包含其他受众的标识符。

• exp

过期时间，过期后ID_TOKEN将会失效。其值是一个JSON number，表示从1970-01-01T0:0:0Z开始（以 UTC 度量）到过期日期/时间为止的秒数。

• iat

认证时间，即版本ID_TOKEN的时间，其值是一个JSON number，表示从1970-01-01T0:0:0Z开始（以 UTC 度量）到认证日期/时间为止的秒数。

注：如果客户端(RP)向身份认证服务器(OP)注册过公钥，则可以使用客户端公钥对该JWT进行非对称签名校验，或者可以使用客户端密钥对该JWT进行对称签名。这种方式可以提高客户端的安全等级，因为可以避免在网络上传递密钥。

在上面图中使用access_token获取user_info的环节中，RP可以通过ID_TOKEN中的sub（EU唯一标识符）到授权服务器的userinfo端点换取用户的基本信息，这样在RP自己的页面上展示EU的标识时就不可以不用9XDF-AABB-001ACFE这样的唯一标识符(sub)，而是用TonyBai这样的可理解的字符串了。

注：OpenID Connect使用一个特殊的权限范围值openid来控制对UserInfo端点的访问。OpenID Connect定义了一组标准化的OAuth权限范围，对 应于用户属性的子集，比如profile 、email 、phone 、address等。

了解了OIDC的身份认证流程以及ID_TOKEN的组成后，我们就算对OIDC有个直观的认知了，接下来我们用一个实例来加深一下对OIDC身份认证的理解。

2. OIDC实例

如果你理解了《通过实例理解OAuth2》一文中的实例，那么理解本篇文章中的OIDC实例将是轻而易举的事情。前面说过，OIDC建构在OAuth2之上，与OAuth2兼容，因此，这里的OIDC实例也改自OAuth2一文中的实例。

与OAuth2一文实例相比，OIDC实例中去掉了云盘服务(my-yunpan)，仅保留了下面结构：

$tree -L 2 -F oidc-examples
oidc-examples
├── my-photo-print/
│   ├── go.mod
│   ├── go.sum
│   ├── home.html
│   ├── main.go
│   └── profile.html
└── open-my-yunpan/
    ├── go.mod
    ├── go.sum
    ├── main.go
    └── portal.html

其中my-photo-print是照片冲印服务，也是oidc实例中的RP实体，而open-my-yunpan扮演着云盘授权服务，是oidc实例中的OP实体。在编写和运行服务之前，我们同样要先修改一下本机(MacOS或Linux)的/etc/hosts文件：

127.0.0.1 my-photo-print.com
127.0.0.1 open.my-yunpan.com

注：在演示下面步骤前，请先进入到oidc-examples的两个目录下，通过go run main.go启动各个服务程序(每个程序一个终端窗口)。

2.1 用户使用my-photo-print.com照片冲印服务

按照流程，用户首先通过浏览器打开照片冲印服务的首页：http://my-photo-print.com:8080，如下图：

这与OAuth2一文中的实例并无什么差别，该页面也是由my-photo-print/main.go中的homeHandler提供的，它的home.html渲染模板也基本没有变化，因此这里就不赘述了。

当用户选择并点击“使用云盘账号登录”时，浏览器将打开云盘授权服务(OP)的首页(http://open.my-yunpan.com:8081/oauth/portal)。

2.2 使用open.my-yunpan.com进行授权，包括openid权限

云盘授权服务的首页还是“老样子”，唯一的差别就是请求的权限包含了一项openid(有my-photo-print的home.html带过来的)：

这个页面同样由open.my-yunpan.com的portalHandler提供，它的逻辑与oauth2的实例相比没有变化，这里也罗列其代码了。

当用户(EU)填写用户名和密码后，点击“授权”，浏览器便会向云盘授权服务的”/oauth/authorize”发起post请求以获取code，负责”/oauth/authorize”端点的authorizeHandler会对用户进行身份认证，通过后，它会分配code并向浏览器返回重定向的应答，重定向的地址就是照片冲印服务的回调地址：http://my-photo-print.com:8080/cb?code=xxx&state=yyy。

2.3 获取access token以及id_token，并用用户唯一标识获取用户基本信息(profile)

这个重定向相当于用户浏览器向http://my-photo-print.com:8080/cb?code=xxx&state=yyy发起请求，为照片冲印服务提供code，该请求由my-photo-print的oauthCallbackHandler处理：

// oidc-examples/my-photo-print/main.go

// callback handler，用户(EU)拿到code后调用该handler
func oauthCallbackHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("oauthCallbackHandler:", *r)

    code := r.FormValue("code")
    state := r.FormValue("state")

    // check state
    mu.Lock()
    _, ok := stateCache[state]
    if !ok {
        mu.Unlock()
        fmt.Println("not found state:", state)
        w.WriteHeader(http.StatusBadRequest)
        return
    }
    delete(stateCache, state)
    mu.Unlock()

    // fetch access_token and id_token with code
    accessToken, idToken, err := fetchAccessTokenAndIDToken(code)
    if err != nil {
        fmt.Println("fetch access_token error:", err)
        return
    }
    fmt.Println("fetch access_token ok:", accessToken)

    // parse id_token
    mySigningKey := []byte("iamtonybai")
    claims := jwt.RegisteredClaims{}
    _, err = jwt.ParseWithClaims(idToken, &claims, func(token *jwt.Token) (interface{}, error) {
        return mySigningKey, nil
    })
    if err != nil {
        fmt.Println("parse id_token error:", err)
        return
    }

    // use access_token and userID to get user info
    up, err := getUserInfo(accessToken, claims.Subject)
    if err != nil {
        fmt.Println("get user info error:", err)
        return
    }
    fmt.Println("get user info ok:", up)

    mu.Lock()
    userProfile[claims.Subject] = up
    mu.Unlock()

    // 设置cookie
    cookie := http.Cookie{
        Name:   "my-photo-print.com-session",
        Value:  claims.Subject,
        Domain: "my-photo-print.com",
        Path:   "/profile",
    }
    http.SetCookie(w, &cookie)
    w.Header().Add("Location", "/profile")
    w.WriteHeader(http.StatusFound) // redirect to /profile
}

这个handler中做了很多工作。首先是使用code像授权服务器换取access token和id_token，授权服务器负责颁发token的是tokenHandler：

// oidc-examples/open-yunpan/main.go

func tokenHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("tokenHandler:", *r)

    // check client_id and client_secret
    user, password, ok := r.BasicAuth()
    if !ok {
        fmt.Println("no authorization header")
        w.WriteHeader(http.StatusNonAuthoritativeInfo)
        return
    }

    mu.Lock()
    v, ok := validClients[user]
    if !ok {
        fmt.Println("not found user:", user)
        mu.Unlock()
        w.WriteHeader(http.StatusNonAuthoritativeInfo)
        return
    }
    mu.Unlock()

    if v != password {
        fmt.Println("invalid password")
        w.WriteHeader(http.StatusNonAuthoritativeInfo)
        return
    }

    // check code and redirect_uri
    code := r.FormValue("code")
    redirect_uri := r.FormValue("redirect_uri")

    mu.Lock()
    ac, ok := codeCache[code]
    if !ok {
        fmt.Println("not found code:", code)
        mu.Unlock()
        w.WriteHeader(http.StatusNotFound)
        return
    }
    mu.Unlock()

    if ac.redirectURI != redirect_uri {
        fmt.Println("invalid redirect_uri:", redirect_uri)
        w.WriteHeader(http.StatusBadRequest)
        return
    }

    var authResponse struct {
        AccessToken string `json:"access_token"`
        IDToken     string `json:"id_token,omitempty"`
        ExpireIn    int    `json:"expires_in"`
    }

    // generate access_token
    authResponse.AccessToken = randString(16)
    authResponse.ExpireIn = 3600
    now := time.Now()
    expired := now.Add(10 * time.Minute)
    claims := jwt.RegisteredClaims{
        Issuer:    "http://open.my-yunpan.com:8091/oauth/token",
        Subject:   ac.userID,
        Audience:  jwt.ClaimStrings{user}, //client_id
        IssuedAt:  &jwt.NumericDate{now},
        ExpiresAt: &jwt.NumericDate{expired},
    }

    if strings.Contains(ac.scopeTxt, "openid") {
        // generate id_token if contains openid
        mySigningKey := []byte("iamtonybai")
        jwtToken := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
        authResponse.IDToken, _ = jwtToken.SignedString(mySigningKey)
    }

    respData, _ := json.Marshal(&authResponse)
    w.Write(respData)
}

我们看到tokenHandler先是对客户端(client)凭据做了校验，接下来验证code，如果code通过验证，则会分配access_token，并根据scope中是否包含openid决定是否分配id_token，这里我们的权限授权中包含了openid，于是tokenHandler将id_token(一个jwt)一并生成并返回给client。

而拿到access_token和id_token的my-photo-print的oauthCallbackHandler会解析id_token，提取其中的有效信息，比如subject等，并用access_token和id_token中的subject(用户的唯一ID)去授权服务获取用户(EU)的基础身份信息(姓名、主页、邮箱等)，并将用户的唯一ID作为cookie存入用户的浏览器。最后让浏览器重定向到my-photo-print的profile页面。

请注意：这里仅是为了简便起见，生产环境请考虑更为安全的会话机制。

profile页面的处理函数为profileHandler：

// oidc-examples/my-photo-print/main.go

// user profile页面
func profileHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("profileHandler:", *r)

    cookie, err := r.Cookie("my-photo-print.com-session")
    if err != nil {
        http.Error(w, "找不到cookie，请重新登录", 401)
        return
    }
    fmt.Printf("found cookie: %#v\n", cookie)

    mu.Lock()
    pf, ok := userProfile[cookie.Value]
    if !ok {
        mu.Unlock()
        fmt.Println("not found user:", cookie.Value)
        // 跳转到首页
        http.Redirect(w, r, "/", http.StatusSeeOther)
        return
    }
    mu.Unlock()

    // 渲染照片页面模板
    tmpl := template.Must(template.ParseFiles("profile.html"))
    tmpl.Execute(w, pf)
}

我们看到：该handler首先查找cookie中是否存在用户ID，如果不存在，则重定向到登录页面，如果存在，则取出用户唯一ID，并使用该ID查找用户profile信息，最后展示到web页面上：

到这里，我们看到：这种委托云盘授权服务对my-photo-print的用户进行身份认证并拿到该用户基本信息的机制，就是oidc。

注：一旦拿到云盘授权服务身份认证后的用户信息，RP便可以使用各种身份认证机制来管理EU用户，比如RP可以使用会话管理技术（例如使用会话标识符或浏览器cookie）来跟踪EU的会话状态。如果EU在同一会话期间访问RP应用，RP可以通过会话标识符来识别EU，而无需再次进行身份验证。

3. 小结

通过上面的内容，我们对OpenID Connect(OIDC)有了更直观的理解，这里做一个小结:

• OIDC是一套身份认证的开放标准协议，基于OAuth 2.0构建，与OAuth 2.0兼容。
• OIDC协议中主要涉及三个角色：RP(依赖方)、OP(身份提供方)、EU(最终用户)。
• EU通过RP使用OP进行身份认证后，RP可以获得EU的身份信息。整个流程与OAuth 2.0的授权码流程高度相似。
• 关键的差别在于：OP返回的token中除了access_token外，还包含一个ID_TOKEN(JWT格式)。
• RP通过解析ID_TOKEN可以获得EU的唯一标识等信息，并通过access_token进一步获取EU的详细身份信息。
• RP获得EU身份信息后，可以通过各种机制识别和管理EU，无需EU重复身份验证。

总的来说，OIDC利用OAuth 2.0流程进行身份认证，通过额外返回的ID_TOKEN提供EU身份信息，很好地满足了RP对EU身份管理的需求。

文本涉及的源码可以在这里下载。

4. 参考资料

• OIDC(OpenID Connect) Specification - https://openid.net/specs/openid-connect-core-1_0.html
• 利用OAuth 2.0实现一个OpenID Connect用户身份认证协议 - https://time.geekbang.org/column/article/262672

“Gopher部落”知识星球旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！2023年，Gopher部落将进一步聚焦于如何编写雅、地道、可读、可测试的Go代码，关注代码质量并深入理解Go核心技术，并继续加强与星友的互动。欢迎大家加入！

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻) - https://gopherdaily.tonybai.com

我的联系方式：

• 微博(暂不可用)：https://weibo.com/bigwhite20xx
• 微博2：https://weibo.com/u/6484441286
• 博客：tonybai.com
• github: https://github.com/bigwhite
• Gopher Daily归档 - https://github.com/bigwhite/gopherdaily

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。

本文永久链接 – https://tonybai.com/2023/12/16/understand-oauth2-by-example

在之前的《通过实例理解Go Web身份认证的几种方式》和《通过实例理解Web应用授权的几种方式》两篇文章中，我们对Web应用身份认证(AuthN)和授权(AuthZ)的几种方式做了介绍并配以实例增强理解。

在现实世界中，还有一大类的认证与授权是在前面的文章中没有作为重点介绍的，那就是OAuth2授权与基于OAuth2之上的OpenID身份认证(OIDC, OpenID Connect)。

近期接触到开放平台(Open Platform)的设计和开发，整个开放平台的授权流程都是基于OAuth2打造的，因此在这篇文章中，我就来先来通过实例详细说说OAuth2，OIDC将放在后面的文章中说明。

1. OAuth是什么

OAuth中的O代表了Open，OAuth直译过来就是开放授权。OAuth是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表等），而无需将用户名和密码提供给第三方应用。

OAuth不是什么新技术了，其原型最早可追溯至2006年末，至今也快小20年了。但直到2010年4月，OAuth 1.0协议才以RFC 5849的形式正式发布。不过OAuth 1.0版本存在两个主要问题，一是当初设计时仅是为了web浏览器应用，随着应用类型的增多，一套授权机制难以应对现实中的所有场景，比如：Web应用场景、移动App应用场景、官方应用场景等，因为这些场景不是完全相同的，这给使用者带去很多负面体验；二是一些安全性的问题(这里就不展开了)。

2012年10月，解决OAuth 1.0上述问题的OAuth 2.0以RFC 6749发布。OAuth 2.0是OAuth协议的下一版本，但不向后兼容OAuth 1.0。OAuth 2.0关注客户端开发者的简易性，同时为Web应用、桌面应用、手机和智能设备定义了专门的授权许可流程，包括：授权码许可机制(Authorization Code)、客户端凭据机制(Client Credentials)、资源拥有者凭据机制(Resource Owner Password Credentials)和隐式许可机制(Implicit)。如今OAuth 1.0已经被废弃，谈到OAuth如无特殊说明，指的都是OAuth2.0版本。

在OAuth2.0的四种授权类型中，最安全的、最广泛使用的也是最常见的就是授权码许可机制(Authorization Code)了。本文后续的说明与示例也都是围绕授权码这种类型的。

2. OAuth2解决了什么问题

仅仅凭借上面关于OAuth的描述，你可能依然无法对OAuth有一个直观和深刻的理解，笔者第一次接触OAuth协议时也是花了不少时间才逐渐“茅塞顿开”，当然本文参考资料中的那些书籍和资料“功不可没”，尤其是OAuth 2.0的RFC协议规范。

那么OAuth到底解决的是什么问题？这里我们就用一个非常典型的示例来系统说说一下。

2.1 传统的云盘系统

现在有一个像百度网盘那样的云盘系统(my-yunpan.com)，用户可以注册云盘系统的账号，然后将自己的个人数据文件，比如照片、音视频、文档等上传到云盘上保存。

假设这里有一个名为tonybai的用户注册了云盘，并将个人的一些照片文件上传到云盘上做保存和备份：

这是一个我们都可以理解的场景，用户注册云盘账号，然后登录云盘应用后将个人照片上传到云盘，这里使用的身份认证和授权技术方案没有超出《通过实例理解Go Web身份认证的几种方式》和《通过实例理解Web应用授权的几种方式》两篇文章的范畴。

针对这个场景，OAuth定义了三个很容易理解的概念实体：

• Resource Server：集中存储资源(如用户照片等)的服务，这个示例里就是云盘服务；
• Resource owner：资源的拥有者，这里就是云盘的用户，比如图中的tonybai；
• Protected Resource：Resource owner上传并存储在Resource Server中的Resource，受Resource Server保护，这里对应的就是用户上传的照片。

大家先对这三个概念实体有个感性的认识即可，后续备用。

2.2 第三方的照片冲印服务

智能手机时代，数字照片(Digital Photo)将传统的基于胶卷的照片彻底拉下神坛。数字照片是存储在磁盘、手机中或云盘上的，但依然有很多人有将数字照片像传统照片那样冲印出来放在相册里或房间照片墙上欣赏的需求，于是就有了在线照片冲印服务(my-photo-print.com)。

用户注册在线照片冲印服务后，将自己的数字照片上传，交钱冲印即可，冲印好的照片便会经由快递送至用户家中，非常方便。

2.3 Resource Owner要冲印照片

有一天，云盘用户tonybai要挑选一些近期存储在云盘中的照片进行冲印，他搜索到了my-photo-print.com这个第三方的照片冲印服务，但他需要在my-photo-print.com这个应用上重新注册一个账号，再将云盘上的照片下载后重新上传到my-photo-print.com这个服务的空间中才能实现在线冲印。这对于大多数像tonybai这样的用户而言并不是一个很easy的操作，体验上也是糟糕。tonybai在思考：我的照片已经在云盘上了，为什么不可以直接基于云盘上的照片进行冲印呢？

2.4 增加开放平台(open.my-yunpan.com)

在tonybai萌生出这个困惑的同时，云盘的产品经理也同步感知到了这个需求，是时候给云盘系统增加开放平台了！这样，第三方应用便可以接入云盘系统，方便快捷地为云盘用户提供各种扩展服务，比如照片冲印、云上视听、数据智能管理等，这也是互联网界熟知的生态建设的套路。

下面是照片冲印服务my-photo-print.com注册和接入开放平台的示意图：

照片冲印服务my-photo-print.com注册和接入云盘开放平台后，会得到一个client_id和client_secret，这两个字段是照片冲印服务接入云盘开放平台的凭据，即云盘开放平台对第三方应用进行身份认证的凭据。

不过即使照片冲印服务使用client_id和client_secret这个凭据通过了云盘系统的认证，照片冲印服务依然拿不到云盘系统上用户的照片数据，这里需要一个授权过程，即云盘系统用户(如前文提及的tonybai)告诉云盘系统是否允许照片冲印服务访问自己的数据。

那么问题来了！如何实现云盘系统用户对已接入云盘系统的第三方应用的授权呢？下面我们就来探讨一下。

注：这里显然是打了个伏笔，一旦云盘系统建立了开放平台，那么云盘系统的用户对第三方应用的授权流程也就由开放平台规定好了。

2.5 云盘系统用户对第三方应用进行授权的方案

2.5.1 凭据共享方案

一个最简单粗暴的方案就是直接用云盘系统用户的凭据代替用户去云盘系统读取该用户的数据，下面是该方案的示意图：

我们看到：照片打印服务想要获取用户的照片，它首先会提示用户输入其云盘系统上的用户名和密码，然后就会拿着用户的这些凭据合法地进入到该用户在云盘系统中的个人空间并拿到想要的数据。这也意味着用户在云盘系统上可以进行的任何操作，照片打印服务也都有权限进行。此外，一旦用户在多个网站应用上使用的是相同的用户名和密码，那么照片打印服务也可以通过拿到的凭据登录这些网站，并“假扮”用户获得这些网站上的用户数据。这种通过凭据共享来实现第三方应用访问云盘上的用户数据的方案显然是毫无安全底线可言。

2.5.2 专用密码方案

现在你已经看到，共享用户密码并不是一个好方法，那会授予照片打印服务全局的访问权限，它就能代表由它指定的任何用户并访问云盘系统上的所有照片。那是否可以授予照片打印服务一个权限有限的专用密码来实现照片获取呢？此密码仅用于透露给第三方服务，用户自己并不会使用这个密码来登录，只是将它粘贴到所使用的第三方应用里(如下图)：

这是一个可行的方案，但这种方案的可用性并不好。它要求用户除了管理自己的主登录密码之外，还要创建(在云盘系统中)、分发(贴到照片打印服务系统中)和管理特殊的凭据。并且，用户管理这些凭据时一般不会区分专用凭据与第三方应用的对应关系，往往是建立一个新专用凭据后，贴到所有第三方应用中使用，这使得撤销某个具体第三方应用的访问权限变得很困难。让用户科学管理这些凭据，本身就给用户带来了心智负担，也可理解为一种不好的体验。

不过，相对于凭据共享方案的不安全，专用密码方案已经是有所进步了，但还远非理想。

2.6 OAuth2授权方案

前面无论是共享凭据还是专用密码方案，都绕开了开放平台，这显然是故意为最终理想方案的出炉做铺垫的 — 没有差方案，如何才能体现出理想方案的好呢！– 是时候叫出超级飞侠了！。

这就是我们提到的OAuth2授权方案。OAuth协议的设计目的是：让用户(Resource owner，比如tonybai)通过OAuth协议将他们在受保护资源(Protected Resource，比如照片)上的部分权限委托给第三方应用(比如照片冲印服务)，使第三方应用能代表他们执行操作。这个方案既要考虑提升用户的使用体验，也要考虑提升方案整体的安全性。为实现这些，OAuth在流程中引入了另外一个组件：授权服务器（Authorization Server)。

如果我们将第三方应用(比如照片冲印服务)称为client(客户端应用)，加上授权服务器（Authorization Server)以及前面提到的三个概念：Resource Server、Resource owner和Protected Resource，我们就有了5个实体。他们究竟是什么关系呢，又是如何交互的呢？这就是OAuth2.0协议的核心内容。下图是来自OAuth2.0 RFC中的抽象协议流程图，为了好理解，我在图中加入了各个实体对应的示例中的名字：

这是一个抽象图，我们无法从中看出各个流程的细节，但大致可以看出OAuth2授权的关键环节：

• client(客户端应用，如照片冲印服务)需要用户(Resource owner)的授权，但这个授权过程，用户不会将密码等凭据暴露给client；
• client凭借授权信息到授权服务器(Authorization server)换取access token；
• client凭借access token访问用户(Resource owner)在Resource Server(比如云盘系统)上的Resource数据(比如照片)。

接下来，我们来看看细节，我们使用OAuth2中最广泛使用的授权码方案(Authorization code)来展示这个流程，下面是来自OAuth2.0 RFC中的授权码方案流程图：

这个流程图依然很抽象，我们用下面的“分解动作”来解释。

2.6.1 用户(Resource Owner)通过浏览器访问第三方应用(Client，my-photo-print.com)

用户要想使用第三方应用，比如my-photo-print.com服务来冲印自己位于云盘上的照片，他首先要访问到这个第三方应用，如下图所示：

用户通过浏览器(User Agent)打开my-photo-print.com服务的登录页面，这个页面除了提供使用用户名/密码登录之外，还提供了“使用云盘账号”的按钮。该用户不想重新注册一遍my-photo-print.com服务的账号，选择了点击“使用云盘账号”按钮。

2.6.2 用户(Resource Owner)被引导到云盘开放平台登录并对第三方应用进行授权

当用户点击“使用云盘账号”按钮后，对第三方应用进行授权过程便正式开始，下面是一个示意图：

OAuth2.0的授权码模式的第一步便是第三方应用(Client)需要将用户(Resource Owner)引导到云盘开放平台(Authorization Server)的登录页面(/oauth/portal)，为用户授权做好准备。在图中第三方应用my-photo-print.com通过网页html内重定向让用户的浏览器(User Agent)重定向到云盘开放平台的授权门户页面，在重定向的请求中，Client带上了自己的一些参数(比如client_id、scope等)。

云盘开放平台(Authorization Server)返回一个用户登录页面，用户(tonybai)输入用户名密码以供Authorization Server做身份认证。注意这个过程完全没有client(照片冲印服务)的参与，用户名和密码不会泄露给第三方。

当用户(如tonybai)点击submit提交凭据信息时，可以向服务端请求，也可以像图中简化版那样直接给出授权范围的提示。弹出的框提示“照片冲印服务需要用户授予两个权限”，如果用户点击“授权”，则会向Authorization Server发起授权请求，连同用户的登录凭据一起，授权请求的路径与参数如下(也可以使用表单提交的方式提交授权请求)：

/oauth/authorize?response_type=code&client_id=my-photo-print&state=xyz123&scope=user_info,read_photos&redirect_uri=http%3A%2F%2Fmy-phone-print.com%3A8080%2Foauth%2Fcb

response_type=code表示用户向授权平台请求一个授权码，再强调一下：这个授权码是用户(如tonybai)去申请的，而不是client(第三方应用)，后续也是由用户将code告知client(第三方应用)。

cilent_id表示为哪个第三方应用申请的，后续授权平台在发access_token时，可以基于该client_id进行校验。

scope是此次授权的权限列表。

redirect_uri是一个重定向地址，这个地址可以在请求中传递，如果不传递，也可以在client注册开放平台账号时，提供给开放平台(Authorization Server)。

state是一个随机数，OAuth 2.0官方建议使用state以避免CSRF攻击。

2.6.3 用户提供code，client用code换取access_token并读取用户数据

如果Authorization Server通过了用户的请求，便会在应答中带上这次分配给用户的授权码(code)，这个授权码是一次性的，一旦使用便会作废，当然Code也会有时效性，一般就是几分钟。

我们继续看下面图示的分解动作吧：

首先，Authorization Server对用户的请求校验通过后，便会分配授权码，并通过下面这个应答返回给用户(浏览器)：

HTTP/1.1 302 Found
Location: http://my-phone-print.com:8080/oauth/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz123

用户的浏览器收到这个应答后便会重定向到Location这个地址，这个过程其实是在模拟用户向Client(照片冲印服务)提供code的行为。

当Client(照片冲印服务)收到收到用户的code后，它会立即使用这个Code并结合自己的凭据(client_id和client_secert)向Authorization Server申请access_token：

POST /oauth/token HTTP/1.1
Host: open.my-yunpan.com:8081
Authorization: Basic base64(client_id:client_secret)
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=http%3A%2F%2Fmy-phone-print.com%3A8080%2Foauth%2Fcb

这是一个client发向Authorization Server的POST请求，请求参数中，除了固定的grant_type=authorization_code以及code之外，还带了redirect_uri，这个redirect_uri是供Authorization Server校验使用的。此外这个请求是以Client身份申请的，所以在http header中带上了client自己的凭据信息：client_id和client_secert，这里使用的是http basic auth。

Authorization Server对请求验证通过后，便会给出Post应答，access_token等信息都放在应答的包体中：

{
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
}

这里除了包含access_token，还包含了它的过期时间(expires_in)以及一个refresh_token，client可以使用refresh_token在access_token过期前换取一个新的access_token。但从安全角度考虑，client不能无限制的换取新token，所以refresh_token也会被过期时间。一旦refresh_token过期了，那么client就要重新发起一次用户授权过程。

当client收到access_token后，便可以拿着这个access_token到Resource Server(这里是my-yunpan.com)去获取用户(tonybai)的个人资料与照片数据了：

POST /photos HTTP/1.1
Host: my-yunpan.com:8082

method=listall&access_token=2YotnFZFEjr1zCsicMWpAA

my-yunpan.com验证access_token后，便会将tonybai的照片列表返回给client，然后client会返回重定向应答给用户的浏览器。用户浏览器收到重定向应答后，便会向client(照片冲印服务)的/photos端点发起请求，之后便可以在浏览器上看到自己的照片列表了。用户选择要冲印的照片后，创建订单冲印即可。

从用户提交code给client，到用户浏览器显示照片列表，这中间用户可能会有短暂的等待，毕竟client要与Authorization Server和Resource server进行多次交互，用户浏览器也要进行重定向操作。

现在将“分解动作”与OAuth2.0 RFC中的授权码方案流程图结合在一起看，你将会对OAuth有更深刻的理解。

注：OAuth2授权流程原则上是要建立在HTTPS建立的安全通道之上的，这里仅是示例，我们聚焦的是OAuth2流程，所以将使用HTTP进行展示。

3. 示例的具体实现

下面我们用Go语言编写一个可以简单演示OAuth2.0授权流程的示例，该示例与上面描述的OAuth2的“分解动作”基本是可以对应起来的。

示例由三个服务构成：my-photo-print照片冲印服务、my-yunpan云盘服务以及open-my-yunpan云盘开放平台/授权服务，示例对应的目录结构如下：

$tree -L 1 -F oauth2-examples
oauth2-examples
├── my-photo-print/
├── my-yunpan/
└── open-my-yunpan/

在开始编写服务前，我们需要修改一下本机(MacOS或Linux)的/etc/hosts文件：

127.0.0.1 my-photo-print.com
127.0.0.1 my-yunpan.com
127.0.0.1 open.my-yunpan.com

注：由于示例中较少使用到js，且form action的地址也是同源的，并且通过重定向来跳转，所以基本不涉及到跨域问题。

注：在演示下面步骤前，请先进入到oauth2-examples的各个目录下，通过go run main.go启动各个服务程序(每个程序一个终端窗口)。

3.1 用户使用my-photo-print.com照片冲印服务

按照流程，用户首先通过浏览器打开照片冲印服务的首页：http://my-photo-print.com:8080，如下图：

这个页面是由homeHandler提供的：

// oauth2-examples/my-photo-print/main.go

// 照片冲印主页，引导用户去授权平台
func homeHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("homeHandler:", *r)

    // 渲染首页页面模板
    var state = randString(6)
    mu.Lock()
    stateCache[state] = struct{}{}
    mu.Unlock()
    tmpl := template.Must(template.ParseFiles("home.html"))
    data := map[string]interface{}{
        "State": state,
    }
    tmpl.Execute(w, data)
}

这里我们使用了服务端模板渲染，并将渲染的结果作为应答发给浏览器，home.html模板的内容如下：

// oauth2-examples/my-photo-print/home.html

<!DOCTYPE html>
<html>
<head>
  <title>照片冲印服务</title>
</head>
<body>

  <h3>欢迎使用照片冲印服务!</h3>

  <div>
    用户名: <input name="username"/>
    密码: <input name="password" type="password"/>
    <button>登录</button>
  </div>

  <button id="auth-btn">使用云盘账号登录</button>

  <script>
    var authBtn = document.getElementById('auth-btn');
    authBtn.addEventListener('click', function() {
      var clientId = 'my-photo-print';
      var scope = 'user_info,read_photos';
      var state = '{{.State}}';
      var url = 'http://open.my-yunpan.com:8081/oauth/portal?client_id=' + clientId + '&scope=' + scope+'&state=' + state + '&redirect_uri=http%3A%2F%2Fmy-photo-print.com%3A8080%2Foauth%2Fcb'
      window.location.href = url;
    })
  </script>
</body>
</html>

当用户选择并点击“使用云盘账号登录”时，浏览器将打开云盘开放平台/授权服务的首页(http://open.my-yunpan.com:8081/oauth/portal)。

3.2 使用open.my-yunpan.com进行授权

下面是云盘开放平台/授权服务的首页：

这个页面由open.my-yunpan.com的portalHandler提供：

// oauth2-examples/open-my-yunpan/main.go

func portalHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("portalHandler:", *r)

    // 获取请求参数用于渲染应答html页面
    clientID := r.FormValue("client_id")
    scopeTxt := r.FormValue("scope")
    state := r.FormValue("state")
    redirectURI := r.FormValue("redirect_uri")

    // 渲染授权页面模板
    tmpl := template.Must(template.ParseFiles("portal.html"))
    data := map[string]interface{}{
        "AppName":     clientID,
        "Scopes":      strings.Split(scopeTxt, ","),
        "ScopeTxt":    scopeTxt,
        "State":       state,
        "RedirectURI": redirectURI,
    }
    tmpl.Execute(w, data)
}

和照片冲印服务首页一样，这里同样使用了模板渲染的应答页面，对应的portal.html模板的内容如下：

<!DOCTYPE html>
<html>
    <head>
        <title>云盘授权页面</title>
    </head>
    <body>

        <h3>云盘授权页面</h3>

        <p>
            应用{{.AppName}}正在请求获取以下权限:
            <ul>
                {{range .Scopes}}
                <li>{{.}}</li>
                {{end}}
            </ul>
        </p>

        <form id="authorization-form" method="post" action="/oauth/authorize">
            <div>
                用户名:
                <input name="username" id="username" />
                密码:
                <input name="password" id="password" type="password" />
                <input type="hidden" name="response_type" value="code" />
                <input type="hidden" name="client_id" value="{{.AppName}}" />
                <input type="hidden" name="scope" value="{{.ScopeTxt}}" />
                <input type="hidden" name="state" value="{{.State}}" />
                <input type="hidden" name="redirect_uri" value="{{.RedirectURI}}" />
                <button type="submit">授权</button>
            </div>
        </form>

    </body>
</html>

该页面将照片冲印服务要获得的权限以列表形式展示给用户，然后提供了一个表单，用户填写用户名和密码后，点击“授权”，浏览器便会向开放平台授权服务的”/oauth/authorize”发起post请求以获取code，post请求携带了一些form参数，像response_type、client_id、scope、state等。

“/oauth/authorize”端点由authorizeHandler负责处理：

// oauth2-examples/open-my-yunpan/main.go

func authorizeHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("authorizeHandler:", *r)

    responsTyp := r.FormValue("response_type")
    if responsTyp != "code" {
        w.WriteHeader(http.StatusBadRequest)
        return
    }

    user := r.FormValue("username")
    password := r.FormValue("password")

    mu.Lock()
    v, ok := validUsers[user]
    if !ok {
        fmt.Println("not found the user:", user)
        mu.Unlock()
        w.WriteHeader(http.StatusNonAuthoritativeInfo)
        return
    }
    mu.Unlock()

    if v != password {
        fmt.Println("invalid password")
        w.WriteHeader(http.StatusNonAuthoritativeInfo)
        return
    }

    clientID := r.FormValue("client_id")
    scopeTxt := r.FormValue("scope")
    state := r.FormValue("state")
    redirectURI := r.FormValue("redirect_uri")

    code := randString(8)
    mu.Lock()
    codeCache[code] = authorizeContext{
        clientID:    clientID,
        scopeTxt:    scopeTxt,
        state:       state,
        redirectURI: redirectURI,
    }
    mu.Unlock()

    unescapeURI, _ := url.QueryUnescape(redirectURI)
    redirectURI = fmt.Sprintf("%s?code=%s&state=%s", unescapeURI, code, state)
    w.Header().Add("Location", redirectURI)
    w.WriteHeader(http.StatusFound)
}

authorizeHandler会对用户进行身份认证，通过后，它会分配code并向浏览器返回重定向的应答，重定向的地址就是照片冲印服务的回调地址：http://my-photo-print.com:8080/cb?code=xxx&state=yyy。

3.3 换取access token并读取用户照片列表

这个重定向相当于用户浏览器向http://my-photo-print.com:8080/cb?code=xxx&state=yyy发起请求，为照片冲印服务提供code，该请求由my-photo-print的oauthCallbackHandler处理：

// oauth2-examples/my-photo-print/main.go

// callback handler，用户拿到code后调用该handler
func oauthCallbackHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("oauthCallbackHandler:", *r)

    code := r.FormValue("code")
    state := r.FormValue("state")

    mu.Lock()
    _, ok := stateCache[state]
    if !ok {
        mu.Unlock()
        fmt.Println("not found state:", state)
        w.WriteHeader(http.StatusBadRequest)
        return
    }
    delete(stateCache, state)
    mu.Unlock()

    // fetch access_token with code
    accessToken, err := fetchAccessToken(code)
    if err != nil {
        fmt.Println("fetch access_token error:", err)
        return
    }
    fmt.Println("fetch access_token ok:", accessToken)

    // use access_token to get user's photo list
    user, pl, err := getPhotoList(accessToken)
    if err != nil {
        fmt.Println("get photo list error:", err)
        return
    }
    fmt.Println("get photo list ok:", pl)

    mu.Lock()
    userPhotoList[user] = pl
    mu.Unlock()

    w.Header().Add("Location", "/photos?user="+user)
    w.WriteHeader(http.StatusFound)
}

这个handler中做了很多工作，包括使用code换取access token，使用access token读取用户的照片列表并存储在自己的存储中(这里用内存模拟，生产环境应该使用数据库服务实现)，最后返回一个重定向应答。

用户浏览器收到重定向应答后，会重定向访问照片冲印服务的photos端点: http://my-photo-print.com:8080/photos?user=tonybai，以获取该用户的照片列表。photos端点的处理Handler如下：

// oauth2-examples/my-photo-print/main.go

// 待获取到用户照片数据后，让用户浏览器重定向到该页面
func listPhonesHandler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("listPhonesHandler:", *r)

    user := r.FormValue("user")
    mu.Lock()
    pl, ok := userPhotoList[user]
    if !ok {
        mu.Unlock()
        fmt.Println("not found user:", user)
        w.WriteHeader(http.StatusNotFound)
        return
    }
    mu.Unlock()

    // 渲染照片页面模板
    tmpl := template.Must(template.ParseFiles("photolist.html"))
    data := map[string]interface{}{
        "Username":  user,
        "PhotoList": pl,
    }
    tmpl.Execute(w, data)
}

这里使用了photolist.html并结合用户的照片列表数据一起来渲染照片列表页面，并返回给浏览器：

到这里示例演示就结束了，用户通过授权让照片冲印服务读取到了照片数据。

这里还有一个服务没有提及，那就是my-yunpan.com云盘服务，它的实现较为简单，所以这里就不赘述了。

注：生产中，my-yunpan.com云盘服务是要对照片冲印服务的access token进行校验的，这里是演示程序，没有引入数据库或redis来共享access token，因此这里没有校验。

4. 小结

OAuth是一种广泛使用的开放授权机制。它通过引入授权服务器的概念，实现了用户在不共享自己的用户名密码情况下也能安全地向第三方应用提供特定权限的数据访问授权。

本文通过云盘开放平台和第三方照片打印服务的应用场景详细说明了OAuth出现的背景和解决的问题，并结合工作流程图和Go示例代码，通俗易懂地介绍了OAuth2授权码模式的整体交互流程和实现机制。希望大家通过对这篇文章的阅读，能加深对OAuth2工作原理和机制的理解。

文本涉及的源码可以在这里下载。

注：鉴于本人在前端的小白水平，文中涉及的html代码部分在大模型的帮助下完成。渲染出来的页面比较丑陋，还望大家不要责怪:)。

注：Go社区提供了很多OAuth包可以帮助大家快速构建OAuth2的授权服务器，比如：https://github.com/go-oauth2/oauth2等。

5. 参考资料

• OAuth2 Specification - https://tools.ietf.org/html/rfc6749
• 《OAuth2实战》- https://book.douban.com/subject/30487753/
• An Illustrated Guide to OAuth and OpenID Connect - https://developer.okta.com/blog/2019/10/21/illustrated-guide-to-oauth-and-oidc
• 《OAuth2实战课》
• OAuth和OpenID Connect的过去、现在和未来 - https://curity.medium.com/the-past-the-present-and-the-future-of-oauth-and-openid-connect-9b3fbf574519

“Gopher部落”知识星球旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！2023年，Gopher部落将进一步聚焦于如何编写雅、地道、可读、可测试的Go代码，关注代码质量并深入理解Go核心技术，并继续加强与星友的互动。欢迎大家加入！

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻) - https://gopherdaily.tonybai.com

我的联系方式：

• 微博(暂不可用)：https://weibo.com/bigwhite20xx
• 微博2：https://weibo.com/u/6484441286
• 博客：tonybai.com
• github: https://github.com/bigwhite
• Gopher Daily归档 - https://github.com/bigwhite/gopherdaily

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。