基于OAuth 2.0的电子商务开放平台认证与授权的设计与实现

摘要

开放共赢是当今互联网的主旋律，如今不同厂商的Web应用出现了服务开放化和交叉化的趋势。用户的个人授权信息是不同厂商建立联系的唯一纽带，用户需要一种安全的信息交互和授权机制来保护个人信息不泄露给第三方。因此开放平台的核心问题在于用户认证和授权，就是用户授意的情况下对第三方授予某种操作权限，允许第三方在一定范围内代替用户进行操作。
　　本文深入研究了OAuth的基本原理及流程，结合具体需求为开放平台建立了独立的资源授权中心。该资源授权中心在概念模型及流程上采用OAuth2.0表述，同时支持两种授权发起方式：一是实现标准OAuth2.0协议的子集，由第三方应用主动发起和接受授权，支持标准协议中的Authorization Code授权码方式和资源所有者密码证书授权方式以及刷新令牌方式获取授权；二是由我们的应用入口主动发起授权，第三方应用接受授权，这是在标准OAuth授权的基础上授权中心扩展出的托管式授权，帮助第三方应用托管存储 RefreshToken，在授权前会检测用户历史授权记录并能根据历史记录直接颁发授权。
　　该定制化的资源授权中心实现了标准OAuth2.0协议的子集以及协议的扩展。这使交互流程在安全的同时降低了复杂度，提升了可用性。多一次交互就会带来不稳定的因素。尤其是扩展出的托管式授权流程满足了应用中心的用户交互习惯，为公司引入了新的流量及更多的开发者分成。