OAuth 2.0授权框架

背景介绍：

OAuth2.0授权框架支持第三方应用程序以获取对HTTP服务的有限访问权，通过协调批准交互来代表资源所有者，在资源所有者和HTTP服务之间，或者通过允许第三方应用程序代表自己获取访问权限。这个规范取代并淘汰了所描述的OAuth1.0协议

一、传统模式的身份验证模型

在传统的客户端-服务器身份验证模型中，客户端请求对服务器进行访问限制的资源（受保护的资源）通过使用资源所有者的服务器向服务器进行身份验证证书。为了提供第三方应用程序访问受限制的资源，资源所有者与第三方。这会带来一些问题和局限性：

1、需要第三方应用程序来存储资源，所有者的凭证供将来使用，通常是密码明文。

2、尽管要求服务器支持密码验证，密码固有的安全性弱点。

3、第三方应用程序获得了对资源的广泛访问，所有者的受保护资源，从而使资源所有者一无所有，限制持续时间或访问有限的子集的能力资源

4、资源所有者不能撤销对单个第三方的访问权限，而不撤销所有第三方的权限访问，并且必须这样做更改第三方密码