OAuth2.0協(xié)議在高校開放服務(wù)平臺中的應用研究

梁智

摘 要：開放平臺的核心是用戶驗證和授權(quán)。OAuth2.0協(xié)議是一個安全、開放、簡易的認證標準，逐漸成為開放平臺的國際通用授權(quán)方式。介紹了OAuth2.0 協(xié)議的核心工作流程與授權(quán)機制，探討了基于OAuth2.0 授權(quán)協(xié)議的高校開放服務(wù)平臺實現(xiàn)方式。

關(guān)鍵詞：OAuth2.0協(xié)議；授權(quán)體系；開放服務(wù)平臺

DOIDOI：10.11907/rjdk.171256

中圖分類號：TP319

文獻標識碼：A 文章編號：1672-7800（2017）007-0159-03

0 引言

隨著移動互聯(lián)、云計算、虛擬化和大數(shù)據(jù)等信息技術(shù)在教育領(lǐng)域的不斷融合，高校信息化建設(shè)正從“數(shù)字校園”快速邁入“智慧校園”階段。傳統(tǒng)“重應用、輕使用”的面向應用集成的建設(shè)模式正逐步向 “泛在化、融合化、個性化”的開放性服務(wù)建設(shè)模式轉(zhuǎn)變。搭建一個既擁有開放性又具有安全性的公共服務(wù)平臺是高校“智慧校園”框架建設(shè)的重要內(nèi)容。本文基于OAuth2.0開放授權(quán)協(xié)議并結(jié)合高校信息化環(huán)境，對開放服務(wù)平臺建設(shè)實踐中遇到的問題進行了探討。

1 高校開放服務(wù)平臺

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和廣泛應用，用戶對信息化的需求越來越高，高校信息化已邁入了 “智慧校園”建設(shè)階段。“智慧校園”的一大主要特征即具有高度的開放性。開放性促進了互聯(lián)網(wǎng)的快速發(fā)展，互聯(lián)網(wǎng)服務(wù)之間的交互日益增強。因此，構(gòu)建開放平臺整合互聯(lián)網(wǎng)之間的服務(wù)成為必然趨勢。互聯(lián)網(wǎng)服務(wù)提供商將服務(wù)封裝成一系列接口供第三方開發(fā)者使用，這種行為稱為OPEN API。提供開放的API平臺就稱為開放平臺（Open Platform）[1]。

高校業(yè)務(wù)工作涉及教學、科研、行政、生活等多個領(lǐng)域，每個領(lǐng)域又建設(shè)了大量的業(yè)務(wù)系統(tǒng)，包含大量的服務(wù)內(nèi)容。在傳統(tǒng)的數(shù)字化校園體系下，更多地強調(diào)管理而非服務(wù)，需要用戶在各個業(yè)務(wù)系統(tǒng)內(nèi)尋找所需服務(wù)，這顯然不能滿足用戶需求。新的需求如同人們在互聯(lián)網(wǎng)上購買機票時，還同時完成酒店、接機預定，甚至是周邊旅游景點門票、餐飲的預定。這些信息服務(wù)來源于不同行業(yè)，但圍繞著用戶以及用戶行為重新組合起來。因此，將高校原有服務(wù)內(nèi)容抽離，構(gòu)建內(nèi)部的開放性公共服務(wù)平臺并圍繞不同用戶（如教師、學生、校友）和不同時期（如到校前、在校間、離校后）進行有機組合，提供更為開放、個性化的服務(wù)，是新形勢下教育信息化建設(shè)的迫切需要。

2 高校開放服務(wù)平臺面臨的問題

傳統(tǒng)數(shù)字化校園系統(tǒng)下，各業(yè)務(wù)系統(tǒng)包含大量不同的服務(wù)內(nèi)容，其授權(quán)體系基本都是系統(tǒng)級別的授權(quán)，即直接對應用進行授權(quán)。當用戶登錄系統(tǒng)后即可訪問這些服務(wù)，所有的服務(wù)都處于各自的系統(tǒng)邊界內(nèi)，在這個邊界內(nèi)能很好地控制用戶的信息安全與權(quán)限問題。

開放服務(wù)平臺需要將各業(yè)務(wù)系統(tǒng)提供的服務(wù)進行抽離并放在統(tǒng)一的平臺上，這樣就不得不打破原有的系統(tǒng)邊界，如果跳出這個邊界且在沒有手段對訪問權(quán)限進行有效控制的情況下勢必帶來信息安全問題。文獻[2]指出，網(wǎng)絡(luò)服務(wù)在具有開放性的同時，其背后的個人數(shù)據(jù)安全是一個不容忽視的問題。目前，開放平臺有兩種解決方案來實現(xiàn)開放授權(quán)，一種是使用OAuth協(xié)議，另一種是使用IAM服務(wù)[3]。OAuth協(xié)議主要適用于個人用戶對資源的開放授權(quán)，其強調(diào)“現(xiàn)場授權(quán)”，需要現(xiàn)場審批。針對高校的特定應用場景，通過OAuth協(xié)議實現(xiàn)高校開放服務(wù)平臺授權(quán)體系是行之有效的方法。

3 OAuth2.0認證授權(quán)協(xié)議

OAuth2.0協(xié)議是一種專門針對跨平臺應用之間認證授權(quán)而設(shè)計的框架協(xié)議，其最新版本OAuth 2.0于2012年10月發(fā)布，稱為RFC 6749[4]。該協(xié)議允許在應用之間通過重定向方式讓用戶顯式而明確地參與授權(quán)過程，并且保護用戶關(guān)鍵的憑證（口令）信息[5-6]；允許第三方應用程序使用該用戶的私有資源（如個人信息、照片、通訊錄等），而無需將用戶名和密碼直接提供給第三方應用程序。OAuth2.0協(xié)議已經(jīng)成為互聯(lián)網(wǎng)上主流的開放平臺授權(quán)方式，得到了眾多互聯(lián)網(wǎng)企業(yè)支持，如Google API、騰訊、網(wǎng)易等主流開放平臺。

3.1 OAuth2.0協(xié)議參與角色

（1）資源擁有者（resource owner）：對受保護資源具有授權(quán)許可能力的實體，通常是最終用戶。

（2）資源服務(wù)器（resource server）：存儲用戶受保護數(shù)據(jù)資源，客戶端通過授權(quán)令牌（access token）向資源服務(wù)器請求資源，資源服務(wù)器處理訪問請求。

（3）授權(quán)服務(wù)器（authorization server）：認證資源擁有者身份，提供授權(quán)審批流程，最終頒發(fā)授權(quán)令牌（Access Token）給客戶端。

（4）客戶端（client）：訪問受保護資源的第三方應用。在獲得資源擁有者的授權(quán)后，向資源服務(wù)器提交訪問資源請求，通常是Web網(wǎng)站、PC桌面客戶端、移動終端應用或其它設(shè)備。

3.2 OAuth2.0協(xié)議授權(quán)方式

在OAuth2.0協(xié)議下，客戶端必須得到用戶授權(quán)才能獲得令牌（access token）去訪問受保護資源。為了支持不同類型的第三方應用，OAuth2.0提出了4種授權(quán)方式應對不同的應用場景。

（1）授權(quán)碼模式（authorization code）：基于網(wǎng)頁的授權(quán)方式，是功能最完整、流程最嚴密的授權(quán)模式。客戶端在請求驗證前，需要將瀏覽器跳轉(zhuǎn)到用戶授權(quán)頁面。用戶確認授權(quán)后，通過重定向URI讓客戶端獲得一個一次性的授權(quán)碼，再通過授權(quán)碼向授權(quán)服務(wù)器交換授權(quán)令牌（access token）。它的特點是授權(quán)令牌的申請是客戶端服務(wù)器與授權(quán)服務(wù)器在后臺完成，整個過程用戶不可見。

（2）簡化模式（implicit）：簡化模式下客戶端運行在用戶代理（user agent）中，用戶代理向授權(quán)服務(wù)器申請授權(quán)令牌（access token），所有工作都在用戶代理中完成，授權(quán)令牌對訪問者具可見性。這種模式一般用于客戶端應用程序。endprint

（3）密碼模式（resource owner password）：OAuth2.0提供一種允許客戶端使用者持有用戶名與密碼作為訪問許可來交換授權(quán)令牌（access token）。在這種模式下，要求用戶與客戶端之間具有很強的信任關(guān)系。

（4）客戶端模式（client credentials）：是指客戶端自身向授權(quán)服務(wù)器申請授權(quán)令牌（access token）。這種模式中，用戶在客戶端注冊后，客戶端以自己的名義向資源服務(wù)器請求資源，授權(quán)服務(wù)器只驗證客戶端身份而不驗證用戶身份。通常適用于請求的資源數(shù)據(jù)與用戶無關(guān)（如網(wǎng)上的新聞），不涉及用戶登錄與授權(quán)。

3.3 OAuth2.0核心思路與流程

OAuth2.0授權(quán)協(xié)議提供在沒有資源所有者密碼的情況下，通過授權(quán)服務(wù)器頒發(fā)的授權(quán)令牌來訪問用戶資源的方法。其基本思路在文獻[7]中進行了描述。客戶端首先從資源擁有者獲取訪問許可，使用獲得的訪問許可交換授權(quán)令牌，通過向資源服務(wù)器出示授權(quán)令牌來訪問受保護資源。OAuth在客戶端與資源服務(wù)器之間提供了一個抽象的授權(quán)層（authorization layer）對用戶與客戶端進行分離，使資源服務(wù)器只關(guān)注單一的授權(quán)令牌。令牌與密碼不同，其具有資源擁有者賦予的權(quán)限作用域、時效期和其它信息。使用OAuth2.0流程[4]如圖1所示。

OAuth2.0認證和授權(quán)流程如下：①資源擁有者（用戶）訪問第三方客戶端，客戶端引導用戶授予訪問許可；②資源擁有者為客戶端授權(quán)，給客戶端發(fā)送一個訪問許可（authorization code）；③客戶端使用收到的訪問許可與自己的私有證書，向授權(quán)服務(wù)器申請授權(quán)令牌；④授權(quán)服務(wù)器對客戶端身份與訪問許可進行認證，并頒發(fā)授權(quán)令牌；⑤客戶端出示獲得的授權(quán)令牌，向資源服務(wù)器請求資源擁有者的受保護資源；⑥資源服務(wù)器確認授權(quán)令牌的有效性，并對客戶端的資源訪問請求做出響應。

4 OAuth2.0應用

在OAuth2.0授權(quán)協(xié)議體系中，授權(quán)服務(wù)器起著至關(guān)重要的作用，它既是用戶身份的認證者又是授權(quán)的頒發(fā)者，既控制著認證又控制著授權(quán)。目前高校基本已完成包括統(tǒng)一身份認證平臺在內(nèi)的三大平臺建設(shè)，為服務(wù)平臺建立獨立的身份認證體系顯然不合適。為此，可將認證和授權(quán)設(shè)計為兩個獨立體系。授權(quán)服務(wù)器向統(tǒng)一身份認證平臺發(fā)起認證請求，當認證通過時再頒發(fā)授權(quán)令牌給客戶端使用。資源服務(wù)器與授權(quán)服務(wù)器邏輯上是分離的，但為有效減少IO成本，提高訪問效率，事實上往往是資源服務(wù)器與授權(quán)服務(wù)器處于同一臺服務(wù)器上。高校業(yè)務(wù)領(lǐng)域廣，涉及系統(tǒng)多，應將資源服務(wù)器從授權(quán)服務(wù)器上分離并進行合理規(guī)劃，將服務(wù)集群與授權(quán)服務(wù)器對接。高校開放性服務(wù)平臺模型如圖2所示。

5 結(jié)語

在信息技術(shù)、互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天，開放平臺成為互聯(lián)網(wǎng)資源開放的一大發(fā)展趨勢，OAuth2.0協(xié)議為開放平臺中用戶資源授權(quán)與身份驗證問題提供了一個安全、開放、簡易的標準。本文基于OAuth2.0協(xié)議，結(jié)合高校信息化環(huán)境，對開放性服務(wù)平臺的構(gòu)建進行了分析研究，對高校開放服務(wù)平臺建設(shè)提供了一種有效的實現(xiàn)方案。

參考文獻：

[1]錢丹浩.項目化嵌入式教學的開發(fā)系統(tǒng)平臺構(gòu)建[J].單片機與嵌入式系統(tǒng)應用，2010（11） ： 22-35.

[2]羅潔.網(wǎng)絡(luò)開放平臺用戶隱私權(quán)的風險防范研究[J].理論月刊，2014（11） ： 173-176.

[3]AWS identity and access management[EB/OL].[2017-2-17].https：//aws.amazon.com/cn/iam.

[4]The OAuth 2.0 authorization framework[EB/OL].[2017-2-15].https：//tools.ietf.org/html/rfc6749.

[5]LEIBA B. OAuth Web authorization protocol[J]. IEEE Internet Computing， 2012（1-2）：74-77.

[6]HAMMER-LAHAV E. The OAuth 1.0 protocol， RFC5849[S]. Internet Engineering Task Force（IETF）， 2010.

[7]盧慧鋒，趙文濤，孫志峰，等.社會化網(wǎng)絡(luò)服務(wù)中OAuth2.0的應用研究與實現(xiàn)[J]. 計算機應用，2014，34（S1）：50-54.endprint