OAuth2.0概述
OAuth2.0较1.0相比,整个授权验证流程更简单更安全,也是未来最主要的用户身份验证和授权方式。
关于OAuth2.0协议的授权流程可以参考下面的流程图,其中Client指第三方应用,Resource Owner指用户,Authorization Server是我们的授权服务器,Resource Server是API服务器。
注意事项
-
- 1、OAuth2.0授权无需申请,任何应用都可以使用。如果开发者需要更长的授权有效期参考本文档授权有效期部分。
- 2、如果你是站外网页应用或客户端应用,出于安全性考虑,需要在平台网站填写redirect_url(授权回调页),才能使用OAuth2.0,填写地址:“我的应用>应用信息>高级信息”,对于客户端,我们也提供了默认的回调页地址。详细请查看授权页功能部分。
- 具体应用请到http://open.weibo.com/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6
-
二、OAuth的原理和授权流程OAuth的认证和授权的过程中涉及的三方包括:服务商:用户使用服务的提供方,一般用来存消息、储照片、视频、联系人、文件等(比如Twitter、Sina微波等)。用 户:服务商的用户第三方:通常是网站,该网站想要访问用户存储在服务商那里的信息。比如某个提供照片打印服务的网站,用户想在那里打印自己存在服务商那里的网络相册。在认证过程之前,第三方需要先向服务商申请第三方服务的唯一标识。OAuth认证和授权的过程如下:1、用户访问第三方网站网站,想对用户存放在服务商的某些资源进行操作。2、第三方网站向服务商请求一个临时令牌。3、服务商验证第三方网站的身份后,授予一个临时令牌。4、第三方网站获得临时令牌后,将用户导向至服务商的授权页面请求用户授权,然后这个过程中将临时令牌和第三方网站的返回地址发送给服务商。5、用户在服务商的授权页面上输入自己的用户名和密码,授权第三方网站访问所相应的资源。6、授权成功后,服务商将用户导向第三方网站的返回地址。7、第三方网站根据临时令牌从服务商那里获取访问令牌。8、服务商根据令牌和用户的授权情况授予第三方网站访问令牌。9、第三方网站使用获取到的访问令牌访问存放在服务商的对应的用户资源。三、目前支持OAuth的网站有哪些?t.sina.com.cnt.qq.comt.sohu.comt.163.comwww.douban.comwww.twitter.comwww.facebook.comGoogle Buzz