OAuth2.0協(xié)議在高校開放服務(wù)平臺(tái)中的應(yīng)用研究

梁智

摘 要：開放平臺(tái)的核心是用戶驗(yàn)證和授權(quán)。OAuth2.0協(xié)議是一個(gè)安全、開放、簡易的認(rèn)證標(biāo)準(zhǔn)，逐漸成為開放平臺(tái)的國際通用授權(quán)方式。介紹了OAuth2.0 協(xié)議的核心工作流程與授權(quán)機(jī)制，探討了基于OAuth2.0 授權(quán)協(xié)議的高校開放服務(wù)平臺(tái)實(shí)現(xiàn)方式。

關(guān)鍵詞：OAuth2.0協(xié)議；授權(quán)體系；開放服務(wù)平臺(tái)

DOIDOI：10.11907/rjdk.171256

中圖分類號：TP319

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1672-7800（2017）007-0159-03

0 引言

隨著移動(dòng)互聯(lián)、云計(jì)算、虛擬化和大數(shù)據(jù)等信息技術(shù)在教育領(lǐng)域的不斷融合，高校信息化建設(shè)正從“數(shù)字校園”快速邁入“智慧校園”階段。傳統(tǒng)“重應(yīng)用、輕使用”的面向應(yīng)用集成的建設(shè)模式正逐步向 “泛在化、融合化、個(gè)性化”的開放性服務(wù)建設(shè)模式轉(zhuǎn)變。搭建一個(gè)既擁有開放性又具有安全性的公共服務(wù)平臺(tái)是高校“智慧校園”框架建設(shè)的重要內(nèi)容。本文基于OAuth2.0開放授權(quán)協(xié)議并結(jié)合高校信息化環(huán)境，對開放服務(wù)平臺(tái)建設(shè)實(shí)踐中遇到的問題進(jìn)行了探討。

1 高校開放服務(wù)平臺(tái)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和廣泛應(yīng)用，用戶對信息化的需求越來越高，高校信息化已邁入了 “智慧校園”建設(shè)階段?！爸腔坌@”的一大主要特征即具有高度的開放性。開放性促進(jìn)了互聯(lián)網(wǎng)的快速發(fā)展，互聯(lián)網(wǎng)服務(wù)之間的交互日益增強(qiáng)。因此，構(gòu)建開放平臺(tái)整合互聯(lián)網(wǎng)之間的服務(wù)成為必然趨勢?；ヂ?lián)網(wǎng)服務(wù)提供商將服務(wù)封裝成一系列接口供第三方開發(fā)者使用，這種行為稱為OPEN API。提供開放的API平臺(tái)就稱為開放平臺(tái)（Open Platform）[1]。

高校業(yè)務(wù)工作涉及教學(xué)、科研、行政、生活等多個(gè)領(lǐng)域，每個(gè)領(lǐng)域又建設(shè)了大量的業(yè)務(wù)系統(tǒng)，包含大量的服務(wù)內(nèi)容。在傳統(tǒng)的數(shù)字化校園體系下，更多地強(qiáng)調(diào)管理而非服務(wù)，需要用戶在各個(gè)業(yè)務(wù)系統(tǒng)內(nèi)尋找所需服務(wù)，這顯然不能滿足用戶需求。新的需求如同人們在互聯(lián)網(wǎng)上購買機(jī)票時(shí)，還同時(shí)完成酒店、接機(jī)預(yù)定，甚至是周邊旅游景點(diǎn)門票、餐飲的預(yù)定。這些信息服務(wù)來源于不同行業(yè)，但圍繞著用戶以及用戶行為重新組合起來。因此，將高校原有服務(wù)內(nèi)容抽離，構(gòu)建內(nèi)部的開放性公共服務(wù)平臺(tái)并圍繞不同用戶（如教師、學(xué)生、校友）和不同時(shí)期（如到校前、在校間、離校后）進(jìn)行有機(jī)組合，提供更為開放、個(gè)性化的服務(wù)，是新形勢下教育信息化建設(shè)的迫切需要。

2 高校開放服務(wù)平臺(tái)面臨的問題

傳統(tǒng)數(shù)字化校園系統(tǒng)下，各業(yè)務(wù)系統(tǒng)包含大量不同的服務(wù)內(nèi)容，其授權(quán)體系基本都是系統(tǒng)級別的授權(quán)，即直接對應(yīng)用進(jìn)行授權(quán)。當(dāng)用戶登錄系統(tǒng)后即可訪問這些服務(wù)，所有的服務(wù)都處于各自的系統(tǒng)邊界內(nèi)，在這個(gè)邊界內(nèi)能很好地控制用戶的信息安全與權(quán)限問題。

開放服務(wù)平臺(tái)需要將各業(yè)務(wù)系統(tǒng)提供的服務(wù)進(jìn)行抽離并放在統(tǒng)一的平臺(tái)上，這樣就不得不打破原有的系統(tǒng)邊界，如果跳出這個(gè)邊界且在沒有手段對訪問權(quán)限進(jìn)行有效控制的情況下勢必帶來信息安全問題。文獻(xiàn)[2]指出，網(wǎng)絡(luò)服務(wù)在具有開放性的同時(shí)，其背后的個(gè)人數(shù)據(jù)安全是一個(gè)不容忽視的問題。目前，開放平臺(tái)有兩種解決方案來實(shí)現(xiàn)開放授權(quán)，一種是使用OAuth協(xié)議，另一種是使用IAM服務(wù)[3]。OAuth協(xié)議主要適用于個(gè)人用戶對資源的開放授權(quán)，其強(qiáng)調(diào)“現(xiàn)場授權(quán)”，需要現(xiàn)場審批。針對高校的特定應(yīng)用場景，通過OAuth協(xié)議實(shí)現(xiàn)高校開放服務(wù)平臺(tái)授權(quán)體系是行之有效的方法。

3 OAuth2.0認(rèn)證授權(quán)協(xié)議

OAuth2.0協(xié)議是一種專門針對跨平臺(tái)應(yīng)用之間認(rèn)證授權(quán)而設(shè)計(jì)的框架協(xié)議，其最新版本OAuth 2.0于2012年10月發(fā)布，稱為RFC 6749[4]。該協(xié)議允許在應(yīng)用之間通過重定向方式讓用戶顯式而明確地參與授權(quán)過程，并且保護(hù)用戶關(guān)鍵的憑證（口令）信息[5-6]；允許第三方應(yīng)用程序使用該用戶的私有資源（如個(gè)人信息、照片、通訊錄等），而無需將用戶名和密碼直接提供給第三方應(yīng)用程序。OAuth2.0協(xié)議已經(jīng)成為互聯(lián)網(wǎng)上主流的開放平臺(tái)授權(quán)方式，得到了眾多互聯(lián)網(wǎng)企業(yè)支持，如Google API、騰訊、網(wǎng)易等主流開放平臺(tái)。

3.1 OAuth2.0協(xié)議參與角色

（1）資源擁有者（resource owner）：對受保護(hù)資源具有授權(quán)許可能力的實(shí)體，通常是最終用戶。

（2）資源服務(wù)器（resource server）：存儲(chǔ)用戶受保護(hù)數(shù)據(jù)資源，客戶端通過授權(quán)令牌（access token）向資源服務(wù)器請求資源，資源服務(wù)器處理訪問請求。

（3）授權(quán)服務(wù)器（authorization server）：認(rèn)證資源擁有者身份，提供授權(quán)審批流程，最終頒發(fā)授權(quán)令牌（Access Token）給客戶端。

（4）客戶端（client）：訪問受保護(hù)資源的第三方應(yīng)用。在獲得資源擁有者的授權(quán)后，向資源服務(wù)器提交訪問資源請求，通常是Web網(wǎng)站、PC桌面客戶端、移動(dòng)終端應(yīng)用或其它設(shè)備。

3.2 OAuth2.0協(xié)議授權(quán)方式

在OAuth2.0協(xié)議下，客戶端必須得到用戶授權(quán)才能獲得令牌（access token）去訪問受保護(hù)資源。為了支持不同類型的第三方應(yīng)用，OAuth2.0提出了4種授權(quán)方式應(yīng)對不同的應(yīng)用場景。

（1）授權(quán)碼模式（authorization code）：基于網(wǎng)頁的授權(quán)方式，是功能最完整、流程最嚴(yán)密的授權(quán)模式?？蛻舳嗽谡埱篁?yàn)證前，需要將瀏覽器跳轉(zhuǎn)到用戶授權(quán)頁面。用戶確認(rèn)授權(quán)后，通過重定向URI讓客戶端獲得一個(gè)一次性的授權(quán)碼，再通過授權(quán)碼向授權(quán)服務(wù)器交換授權(quán)令牌（access token）。它的特點(diǎn)是授權(quán)令牌的申請是客戶端服務(wù)器與授權(quán)服務(wù)器在后臺(tái)完成，整個(gè)過程用戶不可見。

（2）簡化模式（implicit）：簡化模式下客戶端運(yùn)行在用戶代理（user agent）中，用戶代理向授權(quán)服務(wù)器申請授權(quán)令牌（access token），所有工作都在用戶代理中完成，授權(quán)令牌對訪問者具可見性。這種模式一般用于客戶端應(yīng)用程序。endprint

（3）密碼模式（resource owner password）：OAuth2.0提供一種允許客戶端使用者持有用戶名與密碼作為訪問許可來交換授權(quán)令牌（access token）。在這種模式下，要求用戶與客戶端之間具有很強(qiáng)的信任關(guān)系。

（4）客戶端模式（client credentials）：是指客戶端自身向授權(quán)服務(wù)器申請授權(quán)令牌（access token）。這種模式中，用戶在客戶端注冊后，客戶端以自己的名義向資源服務(wù)器請求資源，授權(quán)服務(wù)器只驗(yàn)證客戶端身份而不驗(yàn)證用戶身份。通常適用于請求的資源數(shù)據(jù)與用戶無關(guān)（如網(wǎng)上的新聞），不涉及用戶登錄與授權(quán)。

3.3 OAuth2.0核心思路與流程

OAuth2.0授權(quán)協(xié)議提供在沒有資源所有者密碼的情況下，通過授權(quán)服務(wù)器頒發(fā)的授權(quán)令牌來訪問用戶資源的方法。其基本思路在文獻(xiàn)[7]中進(jìn)行了描述?？蛻舳耸紫葟馁Y源擁有者獲取訪問許可，使用獲得的訪問許可交換授權(quán)令牌，通過向資源服務(wù)器出示授權(quán)令牌來訪問受保護(hù)資源。OAuth在客戶端與資源服務(wù)器之間提供了一個(gè)抽象的授權(quán)層（authorization layer）對用戶與客戶端進(jìn)行分離，使資源服務(wù)器只關(guān)注單一的授權(quán)令牌。令牌與密碼不同，其具有資源擁有者賦予的權(quán)限作用域、時(shí)效期和其它信息。使用OAuth2.0流程[4]如圖1所示。

OAuth2.0認(rèn)證和授權(quán)流程如下：①資源擁有者（用戶）訪問第三方客戶端，客戶端引導(dǎo)用戶授予訪問許可；②資源擁有者為客戶端授權(quán)，給客戶端發(fā)送一個(gè)訪問許可（authorization code）；③客戶端使用收到的訪問許可與自己的私有證書，向授權(quán)服務(wù)器申請授權(quán)令牌；④授權(quán)服務(wù)器對客戶端身份與訪問許可進(jìn)行認(rèn)證，并頒發(fā)授權(quán)令牌；⑤客戶端出示獲得的授權(quán)令牌，向資源服務(wù)器請求資源擁有者的受保護(hù)資源；⑥資源服務(wù)器確認(rèn)授權(quán)令牌的有效性，并對客戶端的資源訪問請求做出響應(yīng)。

4 OAuth2.0應(yīng)用

在OAuth2.0授權(quán)協(xié)議體系中，授權(quán)服務(wù)器起著至關(guān)重要的作用，它既是用戶身份的認(rèn)證者又是授權(quán)的頒發(fā)者，既控制著認(rèn)證又控制著授權(quán)。目前高?；疽淹瓿砂ńy(tǒng)一身份認(rèn)證平臺(tái)在內(nèi)的三大平臺(tái)建設(shè)，為服務(wù)平臺(tái)建立獨(dú)立的身份認(rèn)證體系顯然不合適。為此，可將認(rèn)證和授權(quán)設(shè)計(jì)為兩個(gè)獨(dú)立體系。授權(quán)服務(wù)器向統(tǒng)一身份認(rèn)證平臺(tái)發(fā)起認(rèn)證請求，當(dāng)認(rèn)證通過時(shí)再頒發(fā)授權(quán)令牌給客戶端使用。資源服務(wù)器與授權(quán)服務(wù)器邏輯上是分離的，但為有效減少IO成本，提高訪問效率，事實(shí)上往往是資源服務(wù)器與授權(quán)服務(wù)器處于同一臺(tái)服務(wù)器上。高校業(yè)務(wù)領(lǐng)域廣，涉及系統(tǒng)多，應(yīng)將資源服務(wù)器從授權(quán)服務(wù)器上分離并進(jìn)行合理規(guī)劃，將服務(wù)集群與授權(quán)服務(wù)器對接。高校開放性服務(wù)平臺(tái)模型如圖2所示。

5 結(jié)語

在信息技術(shù)、互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天，開放平臺(tái)成為互聯(lián)網(wǎng)資源開放的一大發(fā)展趨勢，OAuth2.0協(xié)議為開放平臺(tái)中用戶資源授權(quán)與身份驗(yàn)證問題提供了一個(gè)安全、開放、簡易的標(biāo)準(zhǔn)。本文基于OAuth2.0協(xié)議，結(jié)合高校信息化環(huán)境，對開放性服務(wù)平臺(tái)的構(gòu)建進(jìn)行了分析研究，對高校開放服務(wù)平臺(tái)建設(shè)提供了一種有效的實(shí)現(xiàn)方案。

參考文獻(xiàn)：

[1]錢丹浩.項(xiàng)目化嵌入式教學(xué)的開發(fā)系統(tǒng)平臺(tái)構(gòu)建[J].單片機(jī)與嵌入式系統(tǒng)應(yīng)用，2010（11） ： 22-35.

[2]羅潔.網(wǎng)絡(luò)開放平臺(tái)用戶隱私權(quán)的風(fēng)險(xiǎn)防范研究[J].理論月刊，2014（11） ： 173-176.

[3]AWS identity and access management[EB/OL].[2017-2-17].https：//aws.amazon.com/cn/iam.

[4]The OAuth 2.0 authorization framework[EB/OL].[2017-2-15].https：//tools.ietf.org/html/rfc6749.

[5]LEIBA B. OAuth Web authorization protocol[J]. IEEE Internet Computing， 2012（1-2）：74-77.

[6]HAMMER-LAHAV E. The OAuth 1.0 protocol， RFC5849[S]. Internet Engineering Task Force（IETF）， 2010.

[7]盧慧鋒，趙文濤，孫志峰，等.社會(huì)化網(wǎng)絡(luò)服務(wù)中OAuth2.0的應(yīng)用研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用，2014，34（S1）：50-54.endprint