oauth2

例子： 京东商城 ，微博 ，用户三者之间的关系 第一方：用户 第二方：京东商城 第三方：微博 用户不希望在京东商城上注册，可以授权微博使用微博上的用户信息进行登录京东商城。 授权流程： 地址一：授权页面的跳转地址 https://api.weibo.com/oauth2/authorize?client_id=YOUR_CLIENT_ID&response_type=code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI 地址二：授权后的回调地址 ( 将 code 回调给商城的地址 ) 地址三：用 code 交换授权码 a ccess_token 的地址 ( 在交换过程中要加入商城的 Secret的应用密钥) https://api.weibo.com/oauth2/access_token?client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET&grant_type=authorization_code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&code=CODE 地址四：用 access_token 交换用户信息的地址 ( 第三方提供的接口 api 地址， 使用授权码 +uid 交换用户信息 ) https://api.weibo.com

目录 1 腾讯微博OAuth2.0认证介绍 2 获取accesstoken的两种方式 2.1 1.Authorization code grant 2.1.1 第一步：请求code 2.1.2 第二步：请求accesstoken 2.2 2.Implicit grant 3 刷新accesstoken 4 访问API资源 4.1 请求方法 4.2 请求参数（公共部分） 5 使用案例 6 accesstoken过期时间 7 错误码说明 腾讯微博OAuth2.0认证介绍 腾讯微博开放平台，是基于腾讯微博系统，为广大开发者和用户提供的开放数据分享与传播平台。 广大开发者和用户登录平台后，就可以使用平台提供的开放API接口，创建应用从微博系统获取信息，或将新的信息传播到整个微博系统中，丰富多样的API接口和应用，加上您的智慧，将创造出无穷的应用和乐趣。 在使用腾讯微博平台提供的API前，您需要做以下两步工作： 成为开发者，并申请appkey和appsecret 授权获取accesstoken Accesstoken是第三方获得用户授权的凭证，是第三方访问api资源的票据。目前，腾讯微博采用Oauth2.0协议对第三方进行授权，相对Oauth1.0来说，Oauth2.0具有更加简单和安全特点。 关于Oauth2.0的详细介绍，请参考 Oauth2.0协议标准 。 如果您需要使用Oauth1

Oauth1.0与oauth2.0的区别 云计算的热火，引出了大量的开放平台，各种第三方应用建立在开放平台之上，对于安全性的要求，于是出现了oauth协议，2007年发布了Oauth1.0协议，同时又开始了Oauth2.0的讨论，2.0的草案与2011年发布。新的2.0与1.0不兼容。下面说一说2.0与1.0的区别： 1、2.0的用户授权过程有2步， A)引导用户到授权服务器，请求用户授权，用户授权后返回 授权码(Authorization Code) B)客户端由授权码到授权服务器换取访问令牌(access token) C)用访问令牌去访问得到授权的资源 1.0的授权分3步, A)客户端到授权服务器请求一个授权令牌(request token&secret) B)引导用户到授权服务器请求授权 C)用访问令牌到授权服务器换取访问令牌(access token&secret) D)用访问令牌去访问得到授权的资源 2、1.0协议每个token都有一个加密，2.0则不需要。这样来看1.0似乎更加安全，但是2.0要求使用https协议，安全性也更高一筹。 3、2.0充分考虑了客户端的各种子态，因而提供了多种途径获取访问令牌 a)授权码 b)客户端私有证书 c)资源拥有者密码证书 d)刷新令牌 e)断言证书 1.0只有一个用户授权流程。 暂时总结出这三点。 来源： oschina 链接：

Apache Oltu Apache Oltu is an OAuth protocol implementation in Java. http://oltu.apache.org/ 当前开放平台大行其道，其中的授权安全问题如何处理？oauth2.0协议是当今互联网时代用户授权和认证的标准，很好的解决了这一问题。apache孵化项目amber作为oauth2.0的java参考实现与自有平台的整合。 https://cwiki.apache.org/confluence/display/AMBER/OAuth+2.0+Authorization+Server 来源： oschina 链接： https://my.oschina.net/u/105637/blog/142117

1. Oauth2.0授权步骤：（通俗版） 先引导用户到授权服务器请求用户授权，获取授权码（ Authorization Code ），客户端通过授权码到授权服务器换取访问令牌（ access token ），用访问令牌去获取资源。 Oauth2.0授权类型： 授权码、用户名密码（取得用户信任）、隐藏域（适合JS脚本语言实现）、——。 Oauth2.0里的 Aaccess Token 与1.0的包含信息不同: 1.0包含：User_id, A access_Token , A access Token Secret 2.0包含： A access_Token，ExpiresIn(Token过期时间,按秒记)，Refresh_Token(token过期时用户获取新的token) 2.Oauth1.0 协议每个 token 都有一个加密， 2.0 则不需要 。这样来看 1.0 似乎更加安全，但是 2.0 要求使用 https 协议，安全性也更高一筹。 3、2.0充分考虑了客户端的各种子态，因而提供了多种途径获取访问令牌 a)授权码 b)客户端私有证书 c)资源拥有者密码证书 d)刷新令牌 e)断言证书 1.0只有一个用户授权流程。 来源： oschina 链接： https://my.oschina.net/u/131681/blog/198370

现将开发文档翻译出来，因为看英文实在是比较吃力的。 首先看下官方的指南 Developers Guide ，OAuth的两个版都都有。本文看的是OAuth2的开发指南。 翻译如下： Spring Security OAuth2开发指南（OAuth 2 Developers Guide） 目录 1、入门（Introduction） 2、OAuth2.0提供端（OAuth 2.0 Provider） 3、OAuth2.0提供端的实现（OAuth 2.0 Provider Implementation） 4、授权服务器的配置（Authorization Server Configuration） 4.1、配置客户端详情（Configuring Client Details） 4.2、管理Tokens（Managing Tokens） 4.3、授权类型（Grant Types） 4.4、配置端点URL（Configuring the Endpoint URLs） 5、自定义错误处理（Customizing the Error Handling） 6、资源服务器配置（Resource Server Configuration） 6.1、 配置一个理解oauth表达式处理程序 （Configuring An OAuth-Aware Expression Handler） 7、OAuth2

一、OAuth2需求场景 在说明OAuth2需求及使用场景之前，需要先介绍一下OAuth2授权流程中的各种角色： 资源拥有者（User） - 指应用的用户 认证服务器 （Authorization Server） - 提供登录认证接口的服务器，比如：github等 资源服务器 （Resources Server） - 提供资源接口及服务的服务器，通常和认证服务器是同一个应用。 第三方客户端（Client） - 第三方应用，希望使用资源服务器提供的资源 服务提供商(Provider): 认证服务和资源服务归属于一个机构，该机构就是服务提供商 如果您对这些角色承担的作用还不清晰，也请先记住这些角色，继续往下看： 从资源拥有者，即用户的角度：举个例子，用户在B应用上，想使用自己在A应用中的保存的图片等资源。所以用户希望A应用开放接口给B应用，从而使用自己的这些图片资源。 从资源提供者的角度：我想让其他厂商的应用都使用我提供的资源，以增强用户对我的的粘性。越多的第三方应用依赖于我开放的接口，就表示会有越多的用户依赖于我。参考：某某平台开放扫码登录接口。 从第三方客户端，即资源申请者的角度：A应用是一个大厂开发的，它那里用户量大。A应用既然提供了基于OAuth2的接口，我可以获取一些基本用户数据信息，我干嘛不用呢。特别是扫码登录功能接口，给我自己的用户也带来了极大的方便

一、OAuth2需求场景 时光小说网 wap.youxs.org 在说明OAuth2需求及使用场景之前，需要先介绍一下OAuth2授权流程中的各种角色： 资源拥有者（User） - 指应用的用户 认证服务器 （Authorization Server） - 提供登录认证接口的服务器，比如：github等 资源服务器 （Resources Server） - 提供资源接口及服务的服务器，通常和认证服务器是同一个应用。 第三方客户端（Client） - 第三方应用，希望使用资源服务器提供的资源 服务提供商(Provider): 认证服务和资源服务归属于一个机构，该机构就是服务提供商 如果您对这些角色承担的作用还不清晰，也请先记住这些角色，继续往下看： 从资源拥有者，即用户的角度：举个例子，用户在B应用上，想使用自己在A应用中的保存的图片等资源。所以用户希望A应用开放接口给B应用，从而使用自己的这些图片资源。 从资源提供者的角度：我想让其他厂商的应用都使用我提供的资源，以增强用户对我的的粘性。越多的第三方应用依赖于我开放的接口，就表示会有越多的用户依赖于我。参考：某某平台开放扫码登录接口。 从第三方客户端，即资源申请者的角度：A应用是一个大厂开发的，它那里用户量大。A应用既然提供了基于OAuth2的接口，我可以获取一些基本用户数据信息，我干嘛不用呢。特别是扫码登录功能接口