The OAuth 2.0 Authorization Framework---rfc6749

在传统的客户端-服务器身份验证模式中，客户端请求服务器上访问受限的资源（受保护的资源）时，需要使用资源所有者的凭据在服务器上进行身份验证。 资源所有者为了给第三方应用提供受限资源的访问权限，需...

OAuth定义了四种角色： 资源所有者 能够许可对受保护资源的访问权限的实体。当资源所有者是个人时，它被称为最终用户。 资源服务器 托管受保护资源的服务器，能够接收和响应使...

1.2. 协议流程 +--------+ +---------------+ | |--(A)- Autho...

1.3. 授权许可 授权许可是一个代表资源所有者授权（访问受保护资源）的凭据，客户端用它来获取访问令牌。本规范定义了四种许可类型——授权码、隐式许可、资源所有者密码凭据和客户端凭据——以及用于...

1.3.1. 授权码 授权码通过使用授权服务器做为客户端与资源所有者的中介而获得。客户端不是直接从资源所有者请求授权，而是引导资源所有者至授权服务器（由在RFC2616中定义的用户代理），授权...

1.3.2. 隐式许可 隐式许可是为用如JavaScript等脚本语言在浏览器中实现的客户端而优化的一种简化的授权码流程。在隐式许可流程中，不再给客户端颁发授权码，取而代之的是客户端直接被颁发...

资源所有者密码凭据（即用户名和密码），可以直接作为获取访问令牌的授权许可。这种凭据只能应该当资源所有者和客户端之间具有高度信任时（例如，客户端是设备的操作系统的一部分，或者是一个高度特权应用程序...

当授权范围，限于客户端控制下的受保护资源或事先与 授权服务器商定的受保护资源时，客户端凭据，可以被用作为一种授权许可。典型的场景，当客户端代表自己的（功能角色acting）（时（acting o...

1.4. 访问令牌 访问令牌是用于访问受保护资源的凭据。访问令牌是一个代表向客户端颁发的授权的字符串。该字符串通常对于客户端是不透明的。令牌代表了访问权限的由资源所有者许可并由资源服务器和授权...

1.5. 刷新令牌 刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端，用于在当前访问令牌失效或过期时，获取一个新的访问令牌，或者获得相等或更窄范围的额外的访问令牌（访问令牌可...

1.6. TLS版本 本规范任何时候使用传输层安全性（TLS），基于广泛的部署和已知的安全漏洞TLS的相应版本（或多个版本）将会随时间而变化。在本规范撰写时，TLS 1.2版RFC5246是最...

1.7. HTTP重定向 本规范广泛采用了HTTP重定向，有此客户端或授权服务器引导资源所有者的用户代理到另一个目的地址。虽然本规范中的例子演示了HTTP 302状态码的使用，但是任何其他通过...

1.8. 互操作性 OAuth 2.0提供了丰富的具有明确的安全性质的授权框架。然而，尽管在其自身看来是一个带有许多可选择组件的丰富且高度可扩展的框架，本规范有可能产生许多非可互操作的实现。 ...

1.9. 符号约定 本规范中的关键词“必须”、“不能”、“必需的”、“要”、“不要”、“应该”、“不应该”、“推荐的”、“可以”以及“可选的”按RFC2119所述解释。 本规范使用RFC523...

2.0 客户端注册 在开始协议前，客户端在授权服务器注册。客户端在授权服务器上注册所通过的方式超出了本规范，但典型的涉及到最终用户与HTML注册表单的交互。 客户端注册不要求客户端与授权服务...

2.1. 客户端类型 根据客户端与授权服务器安全地进行身份验证的能力（即维护客户端凭据机密性的能力），OAuth定义了两种客户端类型： 机密客户端能够维持其凭据机密性（如客户端执行在具有对...

2.2. 客户端标识 授权服务器颁发给已注册客户端客户端标识——一个代表客户端提供的注册信息的唯一字符串。客户端标识不是一个秘密，它暴露给资源所有者并且不能单独用于客户端身份验证。客户端标识对...

2.3. 客户端身份验证 如果客户端类型是机密的，客户端和授权服务器建立适合于授权服务器的安全性要求的客户端身份验证方法。授权服务器可以接受符合其安全要求的任何形式的客户端身份验证。 机密客...

2.3.1. 客户端密码 拥有客户端密码的客户端可以使用RFC2617中定义的HTTP基本身份验证方案与授权服务器进行身份验证。客户端标识使用按照附录B的“application/x-www-...

2.3.2. 其他身份验证方法 授权服务器可以支持任何与其安全要求匹配的合适的HTTP身份验证方案。当使用其他身份验证方法时，授权服务器必须定义客户端标识（注册记录）和认证方案之间的映射。 ...

2.4. 未注册客户端 本规范不排除使用未注册的客户端。然而，使用这样的客户端超出了本规范的范围，并需要额外的安全性分析并审查其互操作性影响。 2.4. Unregistered Clie...

 授权过程采用了两种授权服务器端点（HTTP资源）： 授权端点——客户端用其通过用户代理重定向从资源所有者获取授权。 令牌端点——客户端用其将授权许可交换为访问令牌，通常伴有客户端身份验证...

3.1. 授权端点 授权端点用于与资源所有者交互获取授权许可。 授权服务器必须先验证资源所有者的身份。 授权服务器对资源所有者进行身份验证的方式（例如，用户名和密码登录、会话cookies）超...

3.1.1. 响应类型 授权端点被授权码许可类型和隐式许可类型流程使用。客户端使用下列参数通知授权服务器期望的许可类型： response_type必需的。其值必须是如4.1.1节所述...

3.1.2. 重定向端点 在完成与资源所有者的交互后，授权服务器引导资源所有者的用户代理返回到客户端。授权服务器重定向用户代理至客户端的重定向端点，该端点是事先在客户端注册过程中或者当发起授权...

3.1.2.1. 端点请求的机密性 当所请求的响应类型是“code”或“token”时，或者当重定向请求将引起机密凭据通过公开网络传输时，重定向端点应该要求使用1.6节所述的TLS。本规范没有...

3.1.2.2. 注册要求 授权服务器必须要求下列客户端注册它们的重定向端点： 公开客户端。 采用隐式许可类型的机密客户端。 授权服务器应该要求所有客户端在使用授权端点前注册它们的重...

3.1.2.3. 动态配置 如果多个重定向URI被注册，或者如果只有部分重定向URI被注册，或者如果没有重定向URI被注册，客户端都必须使用“redirect_uri”请求参数在授权请求中包含...

3.1.2.4. 无效端点 如果由于缺失、无效或不匹配的重定向URI而验证失败，授权服务器应该通知资源所有者该错误且不能向无效的重定向URI自动重定向用户代理。   3.1.2.4. I...

3.1.2.5. 端点内容 向客户端端点的重定向请求通常会引起由用户代理处理的HTML文档响应。如果HTML响应直接作为重定向请求的服务结果，任何包含在HTML文档中的脚本将执行，并具有对重定...

3.2. 令牌端点 客户端通过提交它的授权许可或刷新令牌使用令牌端点获取访问令牌。令牌端点被用于除了隐式许可类型（因为访问令牌是直接颁发的）外的每种授权许可中。 客户端通过何种方式获得令牌端...

3.2.1. 客户端身份验证 在向令牌端点发起请求时，机密客户端或其他被颁发客户端凭据的客户端必须如2.3节所述与授权服务器进行身份验证。客户端身份验证用于： 实施刷新令牌和授权码到它们被...

3.3. 访问令牌范围 授权端点和令牌端点允许客户端使用“scope”请求参数指定访问请求的范围。反过来，授权服务器使用“scope”响应参数通知客户端颁发的访问令牌的范围。 范围参数的值表...

 为了请求访问令牌，客户端从资源所有者获得授权。授权表现为授权许可的形式，客户端用它请求访问令牌。OAuth定义了四种许可类型：授权码、隐式许可、资源所有者密码凭据和客户端凭据。它还提供了扩展机...

4.1. 授权码许可 授权码许可类型用于获得访问令牌和刷新令牌并且为受信任的客户端进行了优化。由于这是一个基于重定向的流程，客户端必须能够与资源所有者的用户代理（通常是Web浏览器）进行交互并...

4.1.1. 授权请求 客户端通过按附录B使用“application/x-www-form-urlencoded”格式向授权端点URI的查询部分添加下列参数构造请求URI： respon...

4.1.2. 授权响应 如果资源所有者许可访问请求，授权服务器颁发授权码，通过按附录B使用“application/x-www-form-urlencoded”格式向重定向URI的查询部分添加...

4.1.2.1. 错误响应 如果由于缺失、无效或不匹配的重定向URI而请求失败，或者如果客户端表示缺失或无效，授权服务器应该通知资源所有者该错误且不能向无效的重定向URI自动重定向用户代理。 ...

4.1.3. 访问令牌请求 客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发...

4.1.4. 访问令牌响应 如果访问令牌请求是有效的且被授权，授权服务器如5.1节所述颁发访问令牌以及可选的刷新令牌。如果请求客户端身份验证失败或无效，授权服务器如5.2节所述的返回错误响应。...

4.2. 隐式许可 隐式授权类型被用于获取访问令牌（它不支持发行刷新令牌），并对知道操作具体重定向URI的公共客户端进行优化。这些客户端通常在浏览器中使用诸如JavaScript的脚本语言实现...

4.2.1. 授权请求 客户端通过按附录B使用“application/x-www-form-urlencoded”格式向授权端点URI的查询部分添加下列参数构造请求URI： respon...

4.2.2. 访问令牌响应 如果资源所有者许可访问请求，授权服务器颁发访问令牌，通过使用按附录B的“application/x-www-form-urlencoded”格式向重定向URI的片段...

4.2.2.1. 错误响应 如果由于缺失、无效或不匹配的重定向URI而请求失败，或者如果客户端表示缺失或无效，授权服务器应该通知资源所有者该错误且不能向无效的重定向URI自动重定向用户代理。 ...

4.3. 资源所有者密码凭据许可 资源所有者密码凭据许可类型适合于资源所有者与客户端具有信任关系的情况，如设备操作系统或高级特权应用。当启用这种许可类型时授权服务器应该特别关照且只有当其他流程...

4.3.1. 授权请求和响应 客户端获得资源所有者凭据所通过的方式超出了本规范的范围。一旦获得访问令牌，客户端必须丢弃凭据。 4.3.1. Authorization Request an...

4.3.2. 访问令牌请求 客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发...

4.3.3. 访问令牌响应 如果访问令牌请求是有效的且被授权，授权服务器如5.1节所述颁发访问令牌以及可选的刷新令牌。如果请求客户端身份验证失败或无效，授权服务器如5.2节所述的返回错误响应。...

4.4. 客户端凭据许可 当客户端请求访问它所控制的，或者事先与授权服务器协商（所采用的方法超出了本规范的范围）的其他资源所有者的受保护资源，客户端可以只使用它的客户端凭据（或者其他受支持的身...

4.4.1. 授权请求和响应 由于客户端身份验证被用作授权许可，所以不需要其他授权请求。 4.4.1. Authorization Request and Response ...

4.4.2. 访问令牌请求 客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发...

4.4.3. 访问令牌响应 如果访问令牌请求是有效的且被授权，授权服务器如5.1节所述颁发访问令牌以及可选的刷新令牌。刷新令牌不应该包含在内。 如果请求因客户端身份验证失败或无效，授权服务器如...

4.5. 扩展许可 通过使用绝对URI作为令牌端点的“grant_type”参数的值指定许可类型，并通过添加任何其他需要的参数，客户端使用扩展许可类型。 例如，采用[OAuth-SAML]定...

如果访问令牌请求是有效的且被授权，授权服务器如5.1节所述颁发访问令牌以及可选的刷新令牌。如果请求因客户端身份验证失败或无效，授权服务器如5.2节所述的返回错误响应。 5. Issuing ...

5.1. 成功的响应 授权服务器颁发访问令牌和可选的刷新令牌，通过向HTTP响应实体正文中添加下列参数并使用200（OK）状态码构造响应： access_token必需的。授权服务器颁发的...

5.2. 错误响应 授权服务器使用HTTP 400（错误请求）状态码响应，在响应中包含下列参数： error 必需的。下列ASCII[USASCII]错误代码之一： invalid...

若授权服务器给客户端颁发了刷新令牌，客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令...

通过向资源服务器出示访问令牌，客户端访问受保护资源。资源服务器必须验证访问令牌，并确保它没有过期且其范围涵盖了请求的资源。资源服务器用于验证访问令牌的方法（以及任何错误响应）超出了本规范的范围，...

7.1. 访问令牌类型 访问令牌的类型给客户端提供了成功使用该访问令牌（和类型指定的属性）发起受保护资源请求所需的信息 若客户端不理解令牌类型，则不能使用该访问令牌。 例如，RFC6750定...

7.2. 错误响应 如果资源访问请求失败，资源服务器应该通知客户端该错误。虽然规定这些错误响应超出了本规范的范围，但是本文档在11.4节建立了一张公共注册表，用作OAuth令牌身份验证方案之间...

8. Extensibility

8.1. 定义访问令牌类型 访问令牌类型可以用以下两种方法之一来定义：在访问令牌类型注册表中注册（按11.1节中的过程）的，或者通过使用一个唯一的绝对URI作为它的名字。 采用URI命名的类...

8.2. 定义新的端点参数 用于授权端点或令牌端点的新的请求或响应参数按照11.2节中的过程在OAuth参数注册表中定义和注册。 参数名称必须符合param-name ABNF，并且参数值的...

8.3. 定义新的授权许可类型 新的授权许可类型可以通过赋予它们一个“grant_type”参数使用的唯一的绝对URI来定义。如果扩展许可类型需要其他令牌端点参数，它们必须如11.2节所述在O...

8.4. 定义新的授权端点响应类型 用于授权端点的新的响应类型按照11.3节中的过程在授权端点响应类型注册表中定义和注册。响应类型名称必须符合response-type ABNF。 re...

8.5. 定义其他错误代码 在协议扩展（例如，访问令牌类型、扩展参数或扩展许可类型等）需要其他错误代码用于授权码许可错误响应（4.1.2.1节）、隐式许可错误响应（4.2.2.1节）、令牌错误...

本机应用程序是安装和执行在资源所有者使用的设备上的客户端（例如，桌面程序，本机移动应用）。本机应用程序需要关于安全、平台能力和整体最终用户体验的特别注意事项。 授权端点需要在客户端和资源所有者...

10.安全考量 作为一个灵活的可扩展的框架，OAuth的安全性考量依赖于许多因素。 以下小节提为实现者提供了聚焦在2.1节所述的三种客户端配置上的安全指南：Web应用、基于用户代理的应用和本地...

10.1. 客户端身份验证 授权服务器为进行客户端身份验证的目的，为Web应用客户端创建客户端凭据。授权服务器被鼓励考虑比客户端密码更强的客户端身份验证手段。Web应用程序客户端必须确保客户端...

10.2. 客户端仿冒 如果被仿冒的客户端不能，或无法保持其客户端凭据保密。恶意客户端可能冒充其他客户端，并获得对受保护资源的访问权限。 授权服务器任何可能的时候必须验证客户端身份。如果授权...

10.3. 访问令牌 访问令牌凭据（以及任何机密的访问令牌属性）在传输和储存时必须保持机密性，并只与授权服务器、访问令牌生效的资源服务器和访问令牌被颁发的客户端共享。访问令牌凭据必须只能使用带...

10.4. 刷新令牌 授权服务器可以给Web应用客户端和本机应用程序客户端颁发刷新令牌。 刷新令牌在传输和储存时必须保持机密性，并只与授权服务器和刷新令牌被颁发的客户端共享。授权服务器必须维...

10.5. 授权码 授权码的传输应该建立在安全通道上，客户端应该要求在它的重定向URI上使用TLS，若该URI指示了一个网络资源。 由于授权码由用户代理重定向传输，它们可能潜在地通过用户代理历...

10.6. 授权码重定向URI伪造 当使用授权码许可类型请求授权时，客户端可以通过“redirect_uri”参数指定重定向URI。 如果攻击者能够伪造重定向URI的值，这可能导致授权服务器向...

10.7. 资源所有者密码凭据 资源所有者密码凭据许可类型通常用于遗留或迁移原因。它降低了由客户端存储用户名和密码的整体风险，但并没有消除泄露高度特权的凭证给客户端的需求。 这种许可类型比其...

10.8. 请求机密性 访问令牌、刷新令牌、资源所有者密码和客户端凭据不能以明文传输。授权码不应该以明文传输。 “state”和“scope”参数不应该包含敏感的客户端或资源所有者的纯文本信...

10.9. 确保端点真实性 为了防止中间人攻击，授权服务器必须对任何被发送到授权和令牌端点的请求要求RFC2818中定义的具有服务器身份验证的TLS 的使用。客户端必须按RFC6125定义且按...

10.10. 凭据猜测攻击 授权服务器必须防止攻击者猜测访问令牌、授权码、刷新令牌、资源所有者密码和客户端凭据。 攻击者猜测已生成令牌（和其它不打算被最终用户掌握的凭据）的概率必须小于或等于...

10.11. 钓鱼攻击 本协议或类似协议的广泛部署，可能导致最终用户变成习惯于被重定向到要求输入他们的密码的网站的做法。 如果最终用户在输入他们的凭据前不注意辨别这些网站的真伪，这将使攻击者...

10.12. 跨站请求伪造 跨站请求伪造（CSRF）是一种漏洞利用，攻击者致使受害的最终用户按恶意URI（例如以误导的链接、图片或重定向提供给用户代理）到达受信任的服务器（通常由存在有效的会话...

10.13. 点击劫持 在点击劫持攻击中，攻击者注册一个合法客户端然后构造一个恶意站点，在一个透明的覆盖在一组虚假按钮上面的嵌入框架中加载授权服务器的授权端点Web页面，这些按钮被精心构造恰好...

10.14. 代码注入和输入验证 代码注入攻击当程序使用的输入或其他外部变量未清洗而导致对程序逻辑的修改时发生。 这可能允许攻击者对应用程序的设备或它的数据的访问权限，导致服务拒绝或引入许多的...

10.15. 自由重定向器 授权服务器、授权端点和客户端重定向端点可能被不当配置，被作为自由重定向器。自由重定向器是一个使用参数自动地向参数值指定而无任何验证的地址重定向用户代理的端点。 自...

10.16. 在隐式流程中滥用访问令牌假冒资源所有者 对于使用隐式流程的公共客户端，本规范没有为客户端提供任何方法来决定访问令牌颁发给的是什么样的客户端。 资源所有者可能通过给攻击者的恶意客...

11.IANA考量 11. IANA Considerations

11.1. OAuth访问令牌类型注册表 本规范建立OAuth访问令牌类型注册表。 在oauth-ext-review@ietf.org邮件列表上的两周的审查期后，根据一位或多位指定的专家的...

11.1.1. 注册模板 Type name： 请求的名称（例如，“example”）。 Additional Token Endpoint Response Paramet...

11.2. OAuth参数注册表 本规范建立OAuth参数注册表。 在oauth-ext-review@ietf.org邮件列表上的两周的审查期后，根据一位或多位指定的专家的建议下，按规范需...

11.2.1. 注册模板 Parameter name: 请求的名称（例如，“example”）。 Parameter usage location: 参数可以使用的位置。...

11.2.2. 最初的注册表内容 OAuth参数注册表中的初始内容： Parameter name: client_id Parameter usage location: ...

11.3. OAuth授权端点响应类型注册表 本规范建立OAuth授权端点响应类型注册表。 在oauth-ext-review@ietf.org邮件列表上的两周的审查期后，根据一位或多位指定...

11.3.1. 注册模板 Response type name: 请求的名称（例如，“example”）。 Change controller: 对于标准化过程的RFC，指...

11.3.2. 最初的注册表内容 OAuth授权端点响应类型注册表的初始内容： Response type name: code Change controller: IET...

11.4. OAuth扩展错误注册表 本规范建立OAuth扩展错误注册表。 在oauth-ext-review@ietf.org邮件列表上的两周的审查期后，根据一位或多位指定的专家的建议下，...

11.4.1. 注册模板 Error name: 请求的名称（例如，“example”）。错误名称的值 不能包含集合%x20-21 /%x23-5B /%x5D-7E以外的字符。 ...

12.参考文献 12. References

12.1. 规范性参考文件 [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels"...

12.2. 参考性引用文献 [OAuth-HTTP-MAC] Hammer-Lahav, E., Ed., "HTTP Authentication: MAC Access Authenti...

附录A. 增强巴科斯-诺尔范式（ABNF）语法 本节提供了本文档中定义的元素按RFC5234记法的增强巴克斯诺尔范式（ABNF）的语法描述。下列ABNF用Unicode代码要点[W3C.REC...