oauth2.0中文译本.doc资源-CSDN文库

oauth

4星 · 超过85%的资源需积分: 9 193 浏览量 2011-07-28 16:46:12 上传评论收藏 352KB DOC 举报

资源推荐

资源详情

资源评论

（一）背景知识



OAuth 2.0 很可能是下一代的“用户验证和授权”标准，目前在国内还没有很靠谱的技术资料。

为了弘扬“开放精神”，让业内的人更容易理解“开放平台”相关技术，进而长远地促进国内开

放平台领域的发展，笔者特意将 OAuth 2.0 协议翻译成中文。



目前 OAuth 2.0 还没有最后定稿，最新的修改版是第 11 个版本，本文下面的翻译即基于这

个第 11 版本。原文见 http://tools.ietf.org/html/draft-ietf-oauth-v2-11。



关于 OAuth 2.0 的更多背景知识，请参考我的另一篇文章：

http://itgeeker.com/mathml/readpaper?pid=65



（二）术语中英对照表



由于 OAuth 协议版本较多（1.0,1.0a,2.0 等），并且各个版本中的技术术语也各不相同，关

于英文技术术语与中文的对应关系，我们以 OAuth 2.0 的第 11 版本中的描述为准。



另外有一些情况，一些英文术语不容易找到普遍接受的汉语释义，翻译过来反而可能引起

误解，而英文术语本身可能更容易理解，因此就不考虑对这部分词汇做翻译了。比如，

“web service”、“ endpoint”、“ user-agent”、“ URI”、“ cookie”等，你只需要知道它是什么

就好了。



还有一些特别难于翻译的词汇，比如“profile”，这个词用在协议里，大概表示：协议功能的

某个剖面、子集、子视图或轮廓。如果翻译成“视图”，容易让人想到“ view”这个词，产生冲

突，最后，我在这里创造了一个新词汇：“子态”。



下面是整理出来的重要技术术语的中英对照表：

云计算 —— cloud computing

第三方 —— third-party

应用/程序 —— application

私有证书 —— credential

身份验证 —— authentication

授权 —— authorization

明文 —— clear-text

客户端 —— client {译者注：本文中的客户端与平常所说的“客户端”并不相同，是相对资源

服务器和授权服务器来说的，它可能指第三方应用的服务器程序或客户端程序}

服务器 —— server

资源拥有者 —— resource owner

受保护资源 —— protected resource

资源服务器 —— resource server

访问令牌 —— access token

授权服务器 —— authorization server

访问许可 —— access grant

实体 —— entity

签名 —— signature

刷新令牌 —— refresh token

作用域 —— scope

授权码 —— authorization code

标识符 —— identifier

密钥 —— secret

断言 —— assertion

原生程序 —— native application

子态 —— profile

同源策略 —— same-origin policy

回调 —— callback

自治的 —— autonomous

查询参数部分 —— query component

分段参数部分 —— fragment component

媒体类型 —— media type

厂商特性的 —— vendor-specific

增强型巴科斯范式 —— ABNF

互联网编号分配机构 —— IANA

互联网工程指导组 —— IESG

标准轨道 —— standards-track



（三）中文译本



1. 引言



随着分布式 web service 和云计算的使用越来越多，第三方应用需要能访问到一些服务器托

管资源。这些资源通常都是受保护的，并且要求使用资源拥有者的私有证书（典型的证书

是用户名和密码）进行身份验证。



在传统的基于客户端-服务器的身份验证模型中，客户端为了访问服务器的受保护资源，是

使用资源拥有者的私有证书来做身份验证的。为了让第三方应用能够访问受保护资源，资

源拥有者必需将他/她/它的私有证书透露给第三方。这引出了很多问题并存在很多局限性：



第三方应用需要用明文保存资源拥有者的私有证书（一般是密码），留作以后再次使用。

虽然密码验证会造成安全隐患，服务器仍然需要支持用密码做身份验证（对称的密码验

证）。

第三方应用对资源拥有者的受保护资源获得过多的使用权限，而资源拥有者没有能力限制

访问到某个资源子集，限制持续时间，或限制这些资源所能支持的访问方式。

资源拥有者无法在不影响所有第三方的前提下单独撤销某个第三方的访问权限，他/她/它只

能通过修改密码来回收所有权限。



OAuth 通过将客户端和资源拥有者的角色进行分离来解决这些问题。在 OAuth 中，客户端

（通常不是资源拥有者，而是代表资源拥有者来操作）提出请求来访问由资源拥有者控制

并由资源服务器托管的资源，然后得到与资源拥有者不同的一套私有证书。



客户端并不是直接使用资源拥有者的私有证书来访问受保护资源，而是得到一个访问令牌

——一个代表某一特定作用域、持续时间和其它属性的字符串{译者注：非常重要的一个概

念，英文叫 access token}。访问令牌由授权服务器在资源拥有者的授意下分发给第三方客

户端。客户端使用访问令牌来访问由资源服务器托管的受保护资源。



例如，一个 web 用户（资源拥有者）能够准许一个打印服务（客户端）访问她存储在另一

个照片共享服务（资源服务器）中的照片，而不用将她的用户名和密码透露给这个打印服

务。她在一个被该照片分享服务信任的身份验证服务（授权服务器）上完成验证，而这个

验证服务会将特定于委托服务的私有证书（令牌）分发给原打印服务。



基于资源服务器对安全的需求，访问令牌可以有不同的格式、结构和使用方式（例如密码

学特性）。访问令牌的属性和用以访问受保护资源的方式不在本规范的规定范围之内，而

是由相关的其它规范来定义。授权服务器和资源服务器之间的交互方式不在本规范的规定

范围之内。



1.1. 符号规范



这篇文档中的关键词“必须”、“一定不能”、“要求”、“会”、“不会”、“应该”、“不应该”、“建议”

“可以”、“可选的”，遵从[RFC2119]中的解释。



这篇文档使用出自[I-D.ietf-httpbis-p1-messaging]的增强型巴科斯范式（ABNF）标记法。另

外，介绍一些规则定义的出处：URI-Reference 出自[RFC3986]；OWS、RWS 和 quoted-

string 出自[I-D.ietf-httpbis-p1-messaging]。



除非特别提到，否则所有协议参数的名字和值都是大小写敏感的。



1.2. 专业术语解释



受保护资源：能够使用 OAuth 请求获取的访问限制性资源。



资源服务器：能够接受和响应受保护资源请求的服务器。



客户端：获取授权和发送受保护资源请求的应用。



资源拥有者：能够对受保护资源进行访问许可控制的实体。



终端用户：起到资源拥有者角色的用户。



令牌：分发给客户端的代表访问授权的字符串。通常这个字符串对客户端来说是不透明的

令牌代表资源拥有者许可的访问作用域和持续时间，并由资源服务器和授权服务器强制保

证。这个令牌可以代表一个标识符，用于检索授权信息，或以一种可验证的方式自包含授

权信息（即一个包含数据和签名的令牌字符串）。令牌可能只代表纯粹的访问能力。而为

了让客户端使用令牌，也可能需要一些多余的特定验证证书。



访问令牌：被客户端用来代表资源拥有者发送验证请求的令牌。



刷新令牌：被客户端用来获取新的访问令牌的令牌，而不用资源拥有者的参与。



授权码：一个短期令牌，代表终端用户的授权。授权码用于获取一个访问令牌和一个刷新

令牌。



访问许可：用于描述中间形式的私有证书（如终端用户的密码或授权码）的一个通用词汇

代表资源拥有者的授权。客户端使用访问许可来获取访问令牌。通过将各种形式的访问许

可都交换成访问令牌，资源服务器只需要支持一种验证机制。



授权服务器：能够成功验证资源拥有者和获取授权，并在此之后分发令牌的服务器。授权

服务器可以和资源服务器是同一个服务器，也可以是不同的实体。单独一个授权服务器可

以为多个资源服务器分发令牌。



终端用户授权 endpoint：授权服务器上能够验证终端用户并获取授权的 HTTP endpoint。终

端用户授权 endpoint 在第 4 节详细描述。



令牌 endpoint ：授权服务器上能够分发令牌和刷新过期令牌的 HTTP endpoint 。令牌

endpoint 在第 5 节详细描述。



客户端标识符：分发给客户端的唯一标识，用于客户端向授权服务器标识自己。客户端标

识符可以有一个对应的密钥。客户端标识符在第 3 节详细描述。



1.3. 概述



OAuth 为客户端提供了一种代表资源拥有者访问受保护资源的方法。在客户端访问受保护

资源之前，它必须先从资源拥有者获取授权（访问许可），然后用访问许可交换访问令牌

（代表许可的作用域、持续时间和其它属性）。客户端通过向资源服务器出示访问令牌来

访问受保护资源。



访问令牌提供了一个抽象层，将不同的授权结构（如用户名密码、断言）替换成资源服务

器可以理解的单一令牌。这种抽象使得分发短期有效的访问令牌成为可能，也使得资源服

务器不必理解多种多样的授权机制。



剩余27页未读，继续阅读

评论收藏

内容反馈

soshawk

2012-07-01

不错，说的蛮清楚的
jc198651

2012-06-12

不错，说的蛮清楚的，要是文档能带中英文就好了，有时候中文确实看不大明白
heguo1981

2012-12-18

翻译的有点乱，不过整体能达到要求。

c1g2y3cgy2011

粉丝: 1
资源: 11

oauth2.0中文译本.doc

OAuth_2.0中文译本.rar

Spring Security OAuth2.0学习笔记.zip

OAuth2.0授权码模式.doc

OAuth2.0中文译本和授权框架等3本.zip

OAuth2.0协议中文版.pdf

141-OAuth 2.0实战课.zip

新浪OAuth2.0示例.html

SpringSecurity OAuth2.0用户认证.xmind

OAuth 2.0中文译本

OAuth2.0 中文译本

OAuth2.0中文译本

springcloud_oauth2.0-master.zip

OAuth 2.0授权框架.pdf

passport-oauth2, 用于 Passport 和 node.js的OAuth 2.0认证策略.zip

RFC6749-OAuth2.0授权框架.pdf

oauth2-server, 一个 PHP OAuth 2.0服务器实现.zip

springboot集成oauth2.0

tongweb7.0，windows和linux安装包

东方通TongWeb Linux/windows安装包(最新版)

nginx-1.19.3_nginx-http-flv-module.rar

win7支持的node版本

太乐地图下载器V5.5.0(2023年-全地图全数据版本)

GITHUB镜像网站表

网页爱心表白代码大全

java,狂神,超市订单管理系统,smbms,静态资源,包含b站视频教程中的四个文件夹

uniGUI_Professional_1.90.0.1555.rar

图解HTTP-彩色版.pdf

宝兰德BES应用服务器使用手册和安装手册

最新资源