xdays

OAuth2.0

前言

OAuth在展过程中变化非常大,1.0的基础概念在2.0中完全不同了,整个模型也发生了翻天覆地的变化,这也给学习这门技术带来了困扰。好在OAuth2.0已经成为标准的RFC6749,我就跟着时代走学习2.0吧!以下内容来自我学习过程对各种文档的总结,仅为个人理解。另外,1.0的相关资料见参考链接。

简介

OAuth是一种开放的授权标准,它解决的问题是如何更安全地让第三方应用访问用户的资源。随着开放平台等其他云计算形式的发展,OAuth也成了做平台或者平台开发很重要的一项技能。

概念

  • 角色
    • 资源所有者(resource owner) 就是终端用户
    • 资源服务器(resource server) 资源托管的平台,如微博等
    • 客户端(client) 第三方应用,想要获取用户资源
    • 授权服务器(authorization server) 颁发授权信息的服务器
  • 授权许可 获取访问令牌的方式,2.0版本定义了四种授权方式(授权码,隐式授权,资源所有者密码凭据和客户端凭据)
  • 访问令牌 代表应用程序可以获取资源的一个凭证 ...