OAuth 设计思路:
OAuth可以理解为一个桥梁,通过这个桥梁使得"客户端(调用方)"可以享受到"服务提供方(服务方)"的授权服务(authorization service)。"客户端"不能直接登录"服务提供方",只能登录桥梁的授权,以此将用户与客户端授权方式区分开。"客户端"通过授权登录所得到的令牌(token),与用户的密码不同。
用户可以在登录的时候,指定授权的令牌的权限范围和有效期。
"客户端"授权登录以后,"服务提供方"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料和可访问的资源。
OAuth 运行流程
OAuth 2.0的运行流程图(RFC 6749)
(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。
上面六个步骤之中,B是关键,即用户怎样才能给于客户端授权。有了这个授权以后,客户端就可以获取令牌,进而凭令牌获取资源。
本文暂时没有评论,来添加一个吧(●'◡'●)