基于OAuth2認證的RESTAPI設計與實踐

劉曉暉 秦子實

摘要：隨著微服務技術架構與企業(yè)各業(yè)務單元中臺的興起，越來越多的系統(tǒng)會開放各種用途的REST API，對API調(diào)用者的身份認證成為保護數(shù)據(jù)安全的第一道防線。認證方法應具有易集成部署與API耦合度低等特性，以方便對現(xiàn)有API認證方式的改進。本文介紹基于OAuth 2.0標準的密碼式令牌認證的設計與部署方法，可對REST API進行用戶名密碼式身份認證及權限鑒別，該方法具有代碼量低易于部署等特點，適用于企業(yè)內(nèi)部各應用系統(tǒng)的REST API認證。

關鍵詞：OAuth 2.0;REST API;Python

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）15-0056-02

1 概述

隨著企業(yè)間業(yè)務系統(tǒng)及服務的聯(lián)系越來越緊密，各系統(tǒng)和服務均開放了較多的API，供其他系統(tǒng)或用戶進行調(diào)用。為了保護各系統(tǒng)的數(shù)據(jù)，需要對API調(diào)用者做出身份認證，并進行權限鑒別。普通的API第三方身份認證方式為第三方系統(tǒng)直接索取并提交用戶的身份認證信息，API獲得身份信息且確認后返回數(shù)據(jù)。該機制索取用戶身份信息，首先存在信任問題和信息泄露風險;其次用戶身份認證信息缺少失效機制，無法限制第三方獲取數(shù)據(jù)的時效;此外，使用用戶身份認證的權限通常即使用系統(tǒng)本身的權限管理機制，耦合程度較高，不利于開發(fā)、管理及后期擴展。

OAuth 2.0（以下簡稱OAuth2）是目前較流行的授權機制，通常用于向第三方應用提供用戶數(shù)據(jù)或其他接口數(shù)據(jù)。OAuth2使用令牌（token）代替用戶名密碼進行身份認證與權限鑒別，因此用戶信息泄露較低，并可以設置令牌時效，也可以直接在令牌中寫入權限信息。

本文針對普通的API第三方認證方式中的不足，在企業(yè)內(nèi)部網(wǎng)絡中，使用OAuth2密碼式令牌進行第三方應用系統(tǒng)的身份認證及權限鑒別。文中代碼示例使用Python的FastAPI庫進行演示。

2 OAuth2標準簡介

2.1 OAuth 2.0標準

OAuth 2.0標準定義在RFC 6749文件中，引入令牌作為授權層，以隔離用戶（資源所有者）與第三方（資源請求者）。即OAuth2的作用就是向第三方發(fā)放令牌。標準中定義了四種授權方式：授權碼、隱藏式、密碼式、客戶端憑證。本文主要介紹在企業(yè)內(nèi)部網(wǎng)絡中各系統(tǒng)間API的認證及鑒權操作，因此僅介紹密碼式OAuth2的應用。

2.2 密碼式OAuth2原理

密碼式OAuth2的認證過程為四種授權方式中較簡單的一種。僅需要第三方向應用系統(tǒng)提供一次用戶的用戶名密碼，確認后應用系統(tǒng)向第三方發(fā)放令牌，此后第三方均使用該令牌進行數(shù)據(jù)請求，具體過程如下：

假設用戶在a.com中存放有數(shù)據(jù)，其中a.com/me用于查看用戶個人信息，a.com/me/items用于查看用戶擁有的所有條目。此時用戶希望b.com獲取其在a.com中的數(shù)據(jù)，則b.com主機向a.com/token發(fā)送POST令牌請求，表單附帶用戶的用戶名密碼及希望獲得的權限。若a.com收到請求后通過身份認證及權限鑒別，則向b.com返回令牌（對稱加密），令牌包含用戶、權限及令牌時效。

此后，b.com向a.com請求數(shù)據(jù)時（如請求a.com/me），僅需要在請求頭部附帶Authorization字段，附帶令牌數(shù)據(jù)即可。a.com將解析請求頭部中的令牌，解密令牌確認身份及權限后，返回數(shù)據(jù)。

可以發(fā)現(xiàn)，整個過程除了在第一次請求中傳遞用戶信息外，在令牌時效內(nèi)的其他請求均僅通過令牌確認身份及權限。過程如下圖所示：

3 密碼式OAuth2應用

3.1 應用環(huán)境

本文使用Python的FastAPI構建REST API，均使用json封裝數(shù)據(jù)。FastAPI支持密碼式OAuth2，使用jwt加密token。

3.2 令牌發(fā)放接口設計

假設原系統(tǒng)目前具有兩個REST API：a.com/me和a.com/me/items，為了支持OAuth2，需要添加a.com/token接口用于身份認證及令牌發(fā)放。本文為了方便演示，使所有API使用同一發(fā)布，發(fā)放令牌的token與原有的兩個API應共享同一個SHA256密鑰，用于加解密密鑰。本文使用openssl生成一個32位的密鑰，設置令牌時效時間15分鐘。

a.com/token通過POST方式接收Form表單，按照密碼式OAuth2標準規(guī)定，表單應包括四個字段：grant_type字段值固定為password;scope字段值為約定的權限碼，權限碼間用空格分隔;username字段為用戶名;password字段為密碼。

a.com/token返回一個使用jwt加密的json對象，access_token鍵的值即為令牌，這是一個加密的json對象，token_type值固定為bearer，其內(nèi)容類似：

加密的內(nèi)容解密后為{"sub"： "johndoe"， "scopes"： ["me"， "items"]， "exp"： 1593831859}，通常約定sub鍵對應令牌主題，即用戶名，scopes鍵對應權限列表，exp鍵對應時效時間戳。

3.3 現(xiàn)有API集成令牌認證設計

首先需要建立oauth2認證模板，包括指明認證方式為密碼式、認證接口為a.com/token、權限包括“me”和“items”：

接下來需要編寫一個認證函數(shù)，用于解析請求頭部的Authorization字段，獲得令牌并使用jwt進行解密，其函數(shù)簽名如下：

現(xiàn)有的其他API需要集成密碼式OAuth2認證時，只需要修改函數(shù)簽名即可，例如檢查用戶賬戶是否可用的函數(shù)，只需在簽名中增加認證函數(shù)和執(zhí)行現(xiàn)有接口所需的權限：

當調(diào)用現(xiàn)有API get_current_active_user時，認證函數(shù)get_current_user的security_scopes參數(shù)即為了現(xiàn)有API索取的權限列表“["me"]”，token參數(shù)即為此次請求頭部附帶的認證令牌。使用jwt解析token后即可獲得用戶名和此次令牌包含的權限列表，使用用戶名查詢該用戶所具有的權限，與令牌中包含的權限以及API索取的權限進行對比，即可明確此次請求是否被授權。

所需多個權限的API定義時，可直接在scopes列表中添加多個權限碼，也可以進行鏈式認證，如下所示：

a.com/me/items/接口需要“me”和“item”兩個權限，可以復用a.com/me/的認證方法get_current_active_user先索取“me”權限，再使用本接口僅索取“items”權限即可。只要權限列表鏈中的一個權限未通過認證，接口就會返回訪問未授權。

4 結(jié)束語

本文介紹了在企業(yè)內(nèi)部場景中，使用OAuth2認證進行API第三方認證的設計方法。在對現(xiàn)有API添加OAuth2認證功能時，該方法具有安全性高、代碼改動少的特點。此外OAuth2所用的對稱加解密執(zhí)行效率高，對現(xiàn)有系統(tǒng)的執(zhí)行效率影響較小。因此，該方法是一種對現(xiàn)有系統(tǒng)影響較小的API第三方認證集成方法。

【通聯(lián)編輯：梁書】