说到OAuth,先来一段百度到的比较官方的解释:
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。OAuth是Open Authorization的简写。
说实话,每次见到官方定义的东西 都想
(╯' - ')╯︵ ┻━┻ (掀桌子) ┬─┬ ノ( ' - 'ノ) {摆好摆好) (╯°Д°)╯︵ ┻━┻(再掀一次)单从字面意思来讲,就是Open Authorization,即 开放 授权的意思。官方解释就是官方,看了几遍仍然不知道是什么东西,所以今天博主也根据自己的理解,完全用白话的方式,不掺杂一点官方语言来解释下OAuth2.0。用你的亲身经历举个栗子来说 就是 现在你用到的第三方登录,比如qq、微信、微博登录啊,免去了自己注册账号的烦恼,实际上这就是OAuth的实现和解决的问题。OAuth也经历了几个版本,目前到了2.0版本,也就是我们常说的OAuth2.0。
二、为什么要有OAuth
是为了解决问题啊(这不是废话吗,出来一个东西,肯定是要解决问题的),但是到底解决什么问题呢,再举个栗子,不够吃了。
2.1 解决用户身份认证问题
我们每当去访问一个网站的资源的时候,网站都会要求我们注册一个账号,访问资源的时候登录账号来表名我们的身份,注意,这一步仅仅就是为了表名你的身份,知道你是个正常的人,而不是一些机器什么的。你对网站有什么操作,网站也能很好地监测到。
这样一来,你每当去访问一个新的网站的时候都要注册账号,对用户来说,麻烦,反正我是不想注册了,对网站来说,我得记录你的账号密码什么的,也麻烦。(网站主要目的还是为了确定你的身份)。
那么问题来,能不能有一种方式,帮网站做认证来表名你是个正常的人,比如可以找一些比较出名且有权威的大公司大网站来认证一下,如qq,微博什么的,因为这些大公司已经存储了你的身份,如果你访问我的网站可以让大公司来证明一下你的身份,我知道
你是谁就可以了,也不用你在我的网站注册账号了。这样一来,你方便,我也方便。所以,OAuth2.0 给出了规范,来解决认证问题。
2.2 解决第三方网站访问已有的用户资源的问题
现在有这么一种情况,既然前边已经说了,你可以用你的qq,微博账号登录我的网站,那么我又有其他非分之想了,我想获取到你在qq或者微博上昵称啊来显示到我的网站上,这样感觉高大上一点,更有甚者,我还想要。。。。emmm ,不是那个了。
我还想要其他东西,我想读取下你的微博,说说啊什么的,或者我也想你能在我的网站发表这些东西。这样岂不是更加高大上。但是这些功能都是qq和微博提供的,我怎么能获取到权限呢。
一个办法就是 你把你的qq或者微博的账号和密码给我,我去登录,这样我就能像你一样操作各种东西。但是你可能就不愿意了,我的账号密码都给你了,万一你把我上边的小片什么的都泄漏出来,我还怎么才朋友里边做人,万一你装作我搞一些坏事情,我岂不是更要身败名裂,毕竟这是最高权限啊。还有,我这qq密码说不定就是其他各种账号的密码,你给我存起来,登录我的支付宝什么的,那怎么行。反正,就是一大堆不行。但是我要获取你qq和微博上的东西你总得给我吧,所以为了解决这个问题。OAuth就又出来了,给出来规范,来解决资源授权问题。
三、OAuth解决上述问题的流程