参考:https://tools.ietf.org/html/rfc6749 第一章
参考rfc6749,重点内容摘录,略过基本介绍,直接进入主题。
1.ROLES
OAuth定义四种角色:
- resource owner:资源所有者,允许第三方访问受保护资源的实体,大多数时候是终端用户(个人),也可能是某个服务或者其它。
- resource server:托管受保护资源的服务,负责响应对受保护资源的访问请求,当然在应答之前先验证access token。
- client:申请resource owner的授权并访问resource server的实体。这里的client与通常意义上的client不同,代表需要被授权的第三方,可能是运行在手机上的某个应用、运行在浏览器中的一段脚本、或者运行在服务器上的某个服务,都可以是client。
- authorization server:授权服务器,实现OAuth 2.0核心功能。负责resource owner身份验证、分发授权许可、发分access token。
需要理解的重要问题:resource server 与authorization server怎么交互?原文中没有介绍。
2.协议流
+--------+ +---------------+ | |--(A)- Authorization Request ->| Resource | | | | Owner | | |<-(B)-- Authorization Grant ---| | | | +---------------+ | | | | &#