授权协议
1、OAuth2.0协议授权流程息
目前OAuth2.0作为开放接口协议在国内外使用的比较广泛。 OAuth 协议旨在为用户资源提供一个安全开放的标准,完美校园遵循此开放授权协议。
2、OAuth2.0的四种角色
resource owner资源所有者
比如twitter用户,他在twitter的数据就是资源,他自己就是这些资源的所有者。--用户
resource server资源服务器
保存资源的服务器,别人要访问受限制的资源就要出示 Access Token(访问另牌)。 --资源服务器
client客户端
一个经过授权后,可以代表资源所有者访问资源服务器上受限制资源的一方。比如 开发者开发的应用。 --开发者,或者应用
authorization server授权服务器
对 资源所有者进行认证,认证通过后,向 客户端发放 Access Token(访问另牌) --授权服务器
3、OAuth2.0 的四种授权方式
| 授权方式 | ResponseType (第一次请求) |
GrantType (第二次请求) |
RefreshToken(续期accessToken) | 说明 |
| 授权码方式 | code | authorization_code | 是 | 最常用也是最安全的授权方式 |
| User-Agent Flow方式 | token | - | 否 | 用于所有无Server端配合的应用(桌面客户端需要内嵌浏览器)(例:纯JS程序) |
| 用户认证方式(XAuth) | - | pasword | 是 | 客户端高度可信,拥有最大的资源访问权限,应用场景:内部或自身官方应用的服务调用;应用方的高级合作和深度整合.。 XAuth代表着的高级授权认证,是平台方对应用方最大的信任和合作 (可以内部使用不建议开放) |
| 客户端认证方式 | - | client_credentials | 否 | 客户端高度可信,不能获取用户信息,只能获取开发者相关信息 |