oauth

什么是OAuth2 OAuth（Open Authorization，开放授权）协议为用户资源提供一个安全、开放而又简单的标准，是目前最流行的授权机制， 用于授权第三方应用。 OAuth的授权方式可以向第三方应用提供用户信息（比如头像、昵称等）； 且不会使第三方触及到用户的用户名和密码，因此OAuth授权是安全的。 应用场景 第三方应用授权登录，例如：用支付宝或QQ账号授权登录优酷视频。 GitHub授权登录原理 网页登录认证，请求后台服务器 后台服务器重定向到GitHub认证 GitHub服务器第三方认证 GitHub服务器认证成功，回调带回认证状态code给后台服务器 后台 服务器用code想GitHub服务器申请令牌 申请成功，GitHub服务器向后台服务器返回认证令牌；后台服务器根据令牌获取GitHub用户信息 刷新页面 一、GitHub服务器配置 跳转GitHub 登录GitHub账户，点击设置里的Developer settings按钮，进入开发者配置 切换tab为OAuth Apps 点击New Oauth APP 配置授权页面，注册授权应用 Application name：应用名称 Homepage URL：应用首页地址 Application description：应用描述 Authorization callback URL：应用回调地址 注册完成

OAuth2.0这个名词你是否在项目中时常听到呢？是否觉得好像懂，又好像不太懂呢？ 最近一直想写篇关于OAuth2.0的东西，记录下我的学习与感悟，然各种理由的拖延，直到今日才静下心来写下这篇博客。当然，这里仅代表个人理解，如有纰漏之处，望园内大佬们不吝赐教～ 好了，话不多说，干货顶上。 几个基本概念 认证（Authentication）和授权(Authorization) 在接触OAuth2.0时是否常听到认证和授权这两个名词呢？ 刚接触时，一直以为这两个词是一个意思，只是大家说法的不同而已。然，在看完官方开发文档后才知道，这根本就是两个东西，不能混为一谈。下面详细说说： 认证： 主要用于验证身份。比如，我们进出火车站，身份证证明自己是张三而不是李四，这就是认证。 授权： 主要用于判断是否拥有相应的权限。比如，我们进出火车站，火车票证明我们有乘坐列车的权限，这就是授权。 现在 看看 ，是不是挺简单的概念，顿时清晰起来？ OAuth定义的四个角色 资源拥有者： 受保护资源的拥有者，可以对他人授权，让其访问该资源。 资源服务器： 托管受保护资源的服务器，只要认证和授权通过，便可响应该资源。 客户端： 提出请求受保护资源的应用程序。 授权服务器： 当认证和授权成功后，给客户端发布访问令牌（access token）。 访问令牌 访问令牌，其实就是可以访问受保护资源的一个凭证。一般而言

理解OAuth 2.0 OAuth 是一个关于授权（authorization）的开放网络标准，在全世界得到广泛应用，目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程，做一个简明通俗的解释，主要参考材料为 RFC 6749 。 一、应用场景 为了理解OAuth的适用场合，让我举一个假设的例子。 有一个"云冲印"的网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲印"读取自己储存在Google上的照片。 问题是只有得到用户的授权，Google才会同意"云冲印"读取这些照片。那么，"云冲印"怎样获得用户的授权呢？ 传统方法是，用户将自己的Google用户名和密码，告诉"云冲印"，后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。 （1）"云冲印"为了后续的服务，会保存用户的密码，这样很不安全。 （2）Google不得不部署密码登录，而我们知道，单纯的密码登录并不安全。 （3）"云冲印"拥有了获取用户储存在Google所有资料的权力，用户没法限制"云冲印"获得授权的范围和有效期。 （4）用户只有修改密码，才能收回赋予"云冲印"的权力。但是这样做，会使得其他所有获得用户授权的第三方应用程序全部失效。 （5）只要有一个第三方应用程序被破解，就会导致用户密码泄漏，以及所有被密码保护的数据泄漏。