在進入到實作前,我們先來理解下關於OAuth的運作原理以及Facebook的第三方登入其運行過程如何。
「OAuth 2.0是OAuth協定的下一版本,但不向下相容OAuth 1.0。OAuth 2.0關注用戶端開發者的簡易性,同時為Web應用,桌面應用和手機,和起居室裝置提供專門的認證流程。」 引用自OAuth Wiki。
在介紹OAuth 2.0之前,我們要先了解為什麼會有OAuth這個標準。
+--------+ +--------+
| Client | ------ user credentials ------> | Server |
+--------+ +--------+
request: 傳遞使用者憑證(如:帳號跟密碼)
response: 使用者個人資料
以Client-Server架構來說,Client要提取resource owner的受保護資料(protected resource)時,要向Server端傳輸使用者憑證(使用者帳號及密碼)才可以。
小劇場
+--------+ +--------------------------+
| User | | Third-party applications |
+--------+ | (第三方) |
+--------------------------+
第三方跟Server說:我想要使用者的隱私資料,可以給我嗎?
Server回第三方說:可以阿,但你要先給我使用者的帳號跟密碼。
第三方跟User說:你可以給我你的帳號跟密碼嘛?因為我想要你的資料。
User跟第三方說:說給你就給你喔?
第三方:........
為了讓第三方應用程式拿到這些受保護資料(protected resource),使用者(resource owner)也要把憑證給這個第三方才行,但這樣子就會造成下述的這些問題:
而OAuth為了解決這些問題,分成了四個不同的角色:
Client分為resource owner及client(第三方),Server分成resource server及authorization server。並提出了一個概念式的OAuth處理流程:
+--------+ +---------------+
| |--(A)- Authorization Request ->| Resource |
| | | Owner |
| |<-(B)-- Authorization Grant ---| |
| | +---------------+
| |
| | +---------------+
| |--(C)-- Authorization Grant -->| Authorization |
| Client | | Server |
| |<-(D)----- Access Token -------| |
| | +---------------+
| |
| | +---------------+
| |--(E)----- Access Token ------>| Resource |
| | | Server |
| |<-(F)--- Protected Resource ---| |
+--------+ +---------------+
Figure: Abstract Protocol Flow
figure from : https://tools.ietf.org/html/rfc6749#page-7
在這邊所提及的access token,我們可以把它當作是使用者憑證。當從authorization server取得後,就能透過該憑證來跟resource server取得該使用者的受保護資料。
在Facebook中,它所處理的OAuth2的流程大致上是:
+--------+ +---------------+
| |--(A)- Authorization Request ->| Resource |
| | | Owner |
| |<-(B)-- Authorization Grant ---| |
| | +---------------+
| |
| | +---------------+
| |--(C)-- Authorization Grant -->| Authorization |
| Client | | Server |
| |<-(D)----- Access Token -------| |
| | +---------------+
| |
| | +---------------+
| |--(E)----- Access Token ------>| Resource |
| | | Server |
| |<-(F)--- Protected Resource ---| |
+--------+ +---------------+
Figure: Facebook Protocol Flow
figure from : https://tools.ietf.org/html/rfc6749#page-7
可以發現到,其實跟OAuth文件中,所提出來的概念流程沒什麼差異(幾乎一模一樣)。
figure from: https://developers.facebook.com/docs/facebook-login/manually-build-a-login-flow/
登入動作可由下述Facebook提供的 API來呼叫:
https://www.facebook.com/v2.10/dialog/oauth?
client_id={app-id}
&redirect_uri={redirect-uri}
&scope=email
註記:
- client_id: 申請facebook app所給予的app id。
- redirect_uri: 當使用者按下確定給予權限許可後,所導入的uri。
(其uri設定需要與facebook app中的「有效的 OAuth 重新導向 URI」一致)- scope: 第三方向使用者要求的權限。(例子中為第三方想向使用者提取email資料)
*scope為非必要欄位,但若是要取得使用者特定資料就得設定。
而Facebook就會將grant放置到所設定的redirect_uri上。假設我們設定的redirect_uri為:https://test.com 。則:
https://test.com/?code=...
code後面…的內容就是我們所收到的grant。
我們可以使用下述的Facebook所提供的API來呼叫:
GET https://graph.facebook.com/v2.10/oauth/access_token?
client_id={app-id}
&redirect_uri={redirect-uri}
&client_secret={app-secret}
&code={code-parameter}
註記:
- client-id: 申請facebook app所給予的app id。
- redirect-uri: 當使用者按下確定給予權限許可後,所導入的頁面。
- client-secret: 申請facebook app所給予的金鑰。
- code: 由「登入」動作重新導向後所得的參數(grant)。
在C動作的API response為:
{
"access_token": {access-token},
"token_type": {type},
"expires_in": {seconds-til-expiration}
}
註記:expires_in: 為access_token存活的時間。
E: 這時client就可以將透過access token來跟resource server索取resource owner受保護的資料。
F: 當驗證client端所傳過來的access token為合法後,就可以取得resource owner受保護的資料。
提取resource owner的受保護資料部份在facebook graph API的文件中,並沒有完整的範例。因此,這邊筆者就先不解釋facebook graph API的處理步驟。
若是讀者們對於網頁、IOS、Andrioid或其他裝置,讀者可進一步的參考這份文件。對於特定程式語言或平台,Facebook有提供SDK能更快的協助開發。
註記:這部分可參考Facebook Login - Documentation - Facebook for Developers
簡單來說,要是今天我們所開發的系統需要做一個會員系統,但是又不想額外在耗費時間及人力成本的情況下,可以嘗試做一個OAuth2的登入方式。
筆者覺得若是能藉由各大知名OAuth2來做登入,或多或少也能吸引些使用者進行註冊。這是因為使用者們不用為了要加入成為一個新會員,又去填寫些個人資料、收認證信、手機認證…等。繁瑣步驟。
但若是該系統需要使用者更進一步的個人資料,如購物車網站、銀行…等。就還是得要自行開發一個屬於自家企家(公司)的會員系統。
概念的部分就告一段落,下一篇我們將透過Node.js來實作一個第三方登入。
RFC 6749-The OAuth 2.0 Authorization Framework
Manually Build a Login Flow - Facebook Login - Documentation - Facebook for Developers
iThome鐵人賽
看影片追技術