深入浅出OAuth2.0授权

一、前言

说到OAuth，先来一段百度到的比较官方的解释：

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。OAuth是Open Authorization的简写。

说实话，每次见到官方定义的东西 都想

（╯' - ')╯︵ ┻━┻ （掀桌子） ┬─┬ ノ( ' - 'ノ) {摆好摆好） (╯°Д°)╯︵ ┻━┻（再掀一次）

单从字面意思来讲，就是Open Authorization，即 开放 授权的意思。官方解释就是官方，看了几遍仍然不知道是什么东西，所以今天博主也根据自己的理解，完全用白话的方式，不掺杂一点官方语言来解释下OAuth2.0。用你的亲身经历举个栗子来说 就是 现在你用到的第三方登录，比如qq、微信、微博登录啊，免去了自己注册账号的烦恼，实际上这就是OAuth的实现和解决的问题。OAuth也经历了几个版本，目前到了2.0版本，也就是我们常说的OAuth2.0。

二、为什么要有OAuth

是为了解决问题啊（这不是废话吗，出来一个东西，肯定是要解决问题的），但是到底解决什么问题呢，再举个栗子，不够吃了。

 

2.1 解决用户身份认证问题

我们每当去访问一个网站的资源的时候，网站都会要求我们注册一个账号，访问资源的时候登录账号来表名我们的身份，注意，这一步仅仅就是为了表名你的身份，知道你是个正常的人，而不是一些机器什么的。你对网站有什么操作，网站也能很好地监测到。

这样一来，你每当去访问一个新的网站的时候都要注册账号，对用户来说，麻烦，反正我是不想注册了，对网站来说，我得记录你的账号密码什么的，也麻烦。（网站主要目的还是为了确定你的身份）。

那么问题来，能不能有一种方式，帮网站做认证来表名你是个正常的人，比如可以找一些比较出名且有权威的大公司大网站来认证一下，如qq，微博什么的，因为这些大公司已经存储了你的身份，如果你访问我的网站可以让大公司来证明一下你的身份，我知道你是谁就可以了，也不用你在我的网站注册账号了。这样一来，你方便，我也方便。所以，OAuth2.0 给出了规范，来解决认证问题。

2.2 解决第三方网站访问已有的用户资源的问题

现在有这么一种情况，既然前边已经说了，你可以用你的qq，微博账号登录我的网站，那么我又有其他