Oauth笔记

上周的工作有安全验证这一块，但不懂，只知道有几个关键字Oauth、secret-key 、token、签名等。今天就查下资料做笔记。

 

Oauth是什么

不依靠用户账号和密码就能获得访问资源权限

本质：一种开放的协议

作用：为用户资源的授权提供了一个安全的、开放而又简易的标准（不会使第三方触及到用户的帐号信息）。

特点：
      简单：不管是OAUTH服务提供者还是应用开发者，都很易于理解与使用；

      安全：没有涉及到用户密钥等信息，更安全更灵活；

      开放：任何服务提供商都可以实现OAUTH，任何软件开发商都可以使用OAUTH；

URL：

      Request Token URL: 获取未授权的Request Token服务地址；
      User Authorization URL: 获取用户授权的Request Token服务地址；
      Access Token URL: 用授权的Request Token换取Access Token的服务地址； 

OAuth2.0定义了四种授权方式:

• 授权码模式（authorization code）

• 简化模式（implicit）

• 密码模式（resource owner password credentials）

• 客户端模式（client credentials）

详情查看：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html