我也想聊聊 OAuth 2.0 —— 基本概念

这是一篇待在草稿箱半年之久的文章

连我自己都不知道我的草稿箱有多少未发布的文章了。这应该是我在上一家公司未解散之前写的,记得当时是要做一个开发者中心,很不幸。
今天,打开草稿箱有种莫名的伤感,看到这个一系列关于 OAuth 的草稿(其实也就两篇而已),我决定重新发表出来。因为,我看到之前简单写的一个一行代码,发送邮件的小工具,放到Github上以后,好多大的企业在免费使用,如:某某新闻网、某某云服务和一家硬件公司,其实我非常高兴的,因为我一直在免费使用好多开源社区的福利。有机会做一点微薄的贡献,这个世界会更好。

第二篇:我也想聊聊 OAuth 2.0 —— Access Token

天反时为灾,地反物为妖

话说我也是今天看了霍金老师的《时间简史》后,我才知道霍金不姓「霍」,我在这里报以诚挚的歉意!对不起,霍老师,我不是人。
回到正题,最近公司的一个O2O项目,领导打算把用户数据共享给开发者,估计是疯了。当然,这也就涉及到开发者认证、API接口、Access Token、AppKey、OAuth这些你如果没接触过就会听的云里雾里的什么鬼。其实这些名词都包含在OAuth 2.0的概念中,从今天起,我要一步步掰开揉碎来理解它们,或许也能帮到你说不定。

什么是 OAuth 2.0?

为什么是2.0?肯定有1.0。
我打开了维基百科:OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名密码提供给第三方应用。看到这,也需你「哦」了一声,你是不是想起了QQ、微博等快捷登录、微信授权和TX的不要脸。OK,那接着看2.0。
OAuth 2.0是OAuth协议的下一版本,但不向下兼容OAuth 1.0。OAuth 2.0关注客户端开发者的简易性,同时为Web应用桌面应用手机,和起居室设备提供专门的认证流程。不就是升级版么,有什么了不起。对了,这就是 OAuth 2.0 。

为什么是 OAuth 2.0?

你今天刚刚发现了一个比较好玩的网站,它可以装逼,不是知乎,是逼乎。你是不是很好奇,点了进去,看到了这个「超目前主流扁平化设计的一种新型设计模式」的页面。逼乎登录页
是不是特别想进去看看,我不会告诉你里边有奥巴马、乔布斯和思聪的。当你去点击微博或QQ图标的时候,会跳转一个授权页面,当你输入你的账户及密码后,就可以去静静的装逼了。当然,逼乎是不会知道你的微博或QQ密码的,这就用到了 OAuth 2.0 协议。

OAuth 2.0 协议有哪几种?

上面说到的「第三方快捷登录」只是 OAuth 2.0 协议的其中一种,其实它是有四种授权方式的,但无论如何客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。四种授权方式如下:

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

我这就不一一赘述具体每个方式所适应的情况了,我下面几篇文章就针对我们打算开发的「开发者中心」来一行行写代码。
但请你记住:OAuth 就是一个开放授权协议! OAuth 就是一个开放授权协议!! OAuth 就是一个开放授权协议!!

posted on 2016-03-17 09:36  Mafly  阅读(1798)  评论(1编辑  收藏  举报