我看了很阮大大的教程,自己覺得他那個講得是很好,下面也說說我自己的理解把。
首先我們乙個很常見的需求:第三方應用需要訪問我們自己系統的使用者資料,我們一般做法就是提供乙個獲取使用者資訊的api。
如上圖所示,如果這個時候來了乙個惡意應用也要請求使用者資料,講道理惡意應用也可以獲取資料。
確實這個我要給它加上access_token,但是我們這個access_token到底由誰來維護呢。
這個時候,我們就想著引入乙個access_token由它專門來管理access_token(頒發,過期等等問題)。引入了授權伺服器了之後,我們的系統結構就如下所示:
上面這個過程,大家都可以理解,那麼現在問題來了,這個token是說頒發就頒發的嗎,到底是由誰來決定這個token的頒發呢。一般來說決定這個token頒發給誰,就是使用者了。至此,oauth裡面的四個角色就順理成章的出來。 1、第三方應用,2、授權伺服器,3、資源伺服器,4、使用者(資源的擁有者)。
OAuth系列之簡單理解OAuth 2 0(二)
oauth 2.0 是目前最流行的授權機制,用來授權第三方應用,獲取使用者資料。例如 大型的居民小區 小區有門禁系統 進入的時候需要輸入密碼,那麼問題來了 有沒有一種辦法,讓快遞員能夠自由進入小區,又不必知道小區居民的密碼,而且他的唯一許可權就是送貨,其他需要密碼的場合,他都沒有許可權?於是,需要設...
關於OAuth協議的理解
最近接觸了oauth協議,挺有意思的。oauth協議的根本目的是為了安全。即第三方不需要獲取使用者的使用者名稱和密碼就可以申請獲得該使用者資源的授權。oauth有三大特點 1 安全。顯而易見 不需使用者名稱和密碼就可以獲得服務。2 開放。所有的oauth服務提供商和應用開發者都可以自由使用。3 簡易...
理解OAuth2 0認證
oauth協議為使用者資源的授權提供了乙個安全的 開放而又簡易的標準。與以往的授權方式不同之處是oauth的授權不會使第三方觸及到使用者的帳號資訊 如使用者名稱與密碼 即第三方無需使用使用者的使用者名稱與密碼就可以申請獲得該使用者資源的授權,因此oauth是安全的。oauth是open author...