白话OAuth2.0

　  一、OAuth是什么

　　OAuth简写：Open Authorization（开放授权）。百度百科上是这么说的：为用户资源提供了一个安全，开放而又简易的标准。解决了密码的反模式问题（第三方应用不需要知道我们的用户名和密码）。任何第三方都可以使用OAuth认证服务，任何服务商都可以提供OAuth的认证服务。互联网有很多服务Open API,很多大公司比如腾讯，谷歌，微软,github都提供了OAuth的认证服务。

　 二、怎么理解OAuth

       我看了很阮大大的教程，自己觉得他那个讲得是很好，下面也说说我自己的理解把。

       首先我们一个很常见的需求：第三方应用需要访问我们自己系统的用户数据，我们一般做法就是提供一个获取用户信息的API。

       

        如上图所示，如果这个时候来了一个恶意应用也要请求用户数据，讲道理恶意应用也可以获取数据。

     

 　　如果恶意应用也可以访问自己的用户数据，那就安全性无从谈起了。一般同志会马上想到给他们加上一个Access_Token，结构如下图所示：

      

　　确实这个我要给它加上Access_Token，但是我们这个Access_Token到底由谁来维护呢。

 

     这个时候，我们就想着引入一个Access_Token由它专门来管理Access_Token（颁发，过期等等问题）。引入了授权服务器了之后，我们的系统结构就如下所示：

     

　  上面这个过程，大家都可以理解，那么现在问题来了，这个token是说颁发就颁发的吗，到底是由谁来决定这个token的颁发呢。一般来说决定这个token颁发给谁，就是用户了。至此，OAuth里面的四个角色就顺理成章的出来。 1、第三方应用，2、授权服务器，3、资源服务器，4、用户（资源的拥有者）。