1.Oauth2.0授权步骤:(通俗版)
先引导用户到授权服务器请求用户授权,获取授权码(Authorization Code),客户端通过授权码到授权服务器换取访问令牌(access token),用访问令牌去获取资源。
Oauth2.0授权类型:授权码、用户名密码(取得用户信任)、隐藏域(适合JS脚本语言实现)、——。
Oauth2.0里的Aaccess Token与1.0的包含信息不同:
1.0包含:User_id,Aaccess_Token,Aaccess Token Secret
2.0包含:Aaccess_Token,ExpiresIn(Token过期时间,按秒记),Refresh_Token(token过期时用户获取新的token)
2.Oauth1.0协议每个token都有一个加密,2.0则不需要。这样来看1.0似乎更加安全,但是2.0要求使用https协议,安全性也更高一筹。
3、2.0充分考虑了客户端的各种子态,因而提供了多种途径获取访问令牌
a)授权码
b)客户端私有证书
c)资源拥有者密码证书
d)刷新令牌
e)断言证书
1.0只有一个用户授权流程。
来源:oschina
链接:https://my.oschina.net/u/131681/blog/198370