在上一篇文章《Oauth2.0(一):为什么需要 Oauth2.0 协议?》中,提到Oauth2.0的交互模型如下:
这个模型涉及到三方:资源拥有者(用户)、应用方(A)、服务提供方(B)。其中,服务提供方包含两个角色:鉴权服务器和资源服务器。鉴权服务器负责对用户进行认证,并授权给应用方权限。认证这一步好实现,无非就是验一下账号密码。但是授权这一步怎么做?这里参考QQ授权给有道的页面:
可以看到在QQ的授权页面上,有”有道云笔记将获得以下权限“的字样以及权限信息。鉴权服务器需要知道请求授权的应用方的身份以及该应用方请求的权限。所以,需要在谈完合作之后,为每一个应用方预先分配