2.oauth

2.oauth

一 概述

4 文档网址等

1. 官方

   1. 标准:http://www.rfcreader.com/#rfc6749

      1. OAuth 的核心就是向第三方应用颁发令牌

2. 其他

   1. https://www.ruanyifeng.com/blog/2019/04/oauth_design.html

三 基础

0 架构

令牌（token）与密码（password）的作用是一样的，都可以进入系统，但是有三点差异。

1. 令牌是短期的，到期会自动失效，用户自己无法修改。密码一般长期有效，用户不修改，就不会发生变化。

2. 令牌可以被数据所有者撤销，会立即失效。以上例而言，屋主可以随时取消快递员的令牌。密码一般不允许被他人撤销。

3. 令牌有权限范围（scope），比如只能进小区的二号门。对于网络服务来说，只读令牌就比读写令牌更安全。密码一般是完整权限。

OAuth 2.0 规定了四种获得令牌的流程,即四种授权方式：

1. 授权码（authorization-code）：第三方应用先申请一个授权码，然后再用该码获取令牌。这种方式是最常用的流程，安全性也最高，它适用于那些有后端的 Web 应用。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。这样的前后端分离，可以避免令牌泄漏。

   A 网站让用户跳转到 GitHub。
   GitHub 要求用户登录，然后询问"A 网站要求获得 xx 权限，你是否同意？"
   用户同意，GitHub 就会重定向回 A 网站，同时发回一个授权码。
   A 网站使用授权码，向 GitHub 请求令牌。
   GitHub 返回令牌.
   A 网站使用令牌，向 GitHub 请求用户数据。

2. 隐藏式（implicit）

3. 密码式（password）：

4. 客户端凭证（client credentials）