思考:为什么会有oauth的授权方式?
OAuth 2.0 是目前比较流行的做法,它率先被Google, Yahoo, Microsoft, Facebook等使用。之所以标注为 2.0,是因为最初有一个1.0协议,但这个1.0协议被弄得太复杂,易用性差,所以没有得到普及。2.0是一个新的设计,协议简单清晰,但它并不兼容1.0,可以说与1.0没什么关系
首先我们要弄明白oauth诞生的环境是什么,如果我使用一个照片冲洗的网站,想冲洗qq空间私密的照片,除了把照片复制粘贴的粗暴的方法之外,能不能直接让网站直接获取全部的照片
最简单粗暴的方法是把qq账号密码给冲洗网站,然后网站拿着你的账号密码去qq空间取照片冲印冲印。这样,用户最关键的认证手段都暴露了,就算你放心qq的运营商还不放心呢
所以有没有一种方法能在不透露密码的前提下,去获取你qq空间的私密照片呢,就是oauth授权。
由于现在的主流就是oauth2.0并且不兼容oauth1.0,本文就简单讨论下oauth2.0。(由于授权服务器和资源服务器通常都是一个运营方,本文统称为qq运营商)
oauth2.0授权的基本认证流程:
oauth和直接输密码最大的不同就是,我们无需将密码透露给冲洗网站,可以通过授权服务器给他一个临时的“绿卡”用于访问我们qq空间私密照片,下面简单说一下怎么实现的。
首先,用户找冲洗网站,冲洗网站说:诶,小伙子,你去给qq说一声,不然不把你照片给我,这里是冲洗网站把用户导向qq的授权服务器了
然后呢,小伙子找到qq说:我可以把我的那些秘密小照片给他,然后qq运营商写了个a用户的凭证,说:诶,小伙子拿着这给冲洗网站就行。用户登陆账号同意授权后,这里是qq授权服务器返回(code,和state重定向到冲洗网站,state有什么用下期博客再说)
后来呢,用户拿着qq给的凭证找冲洗网站,冲洗网站说:回去把,在家等着就行! 到此为止,用户端(用户a)的所有任务就完成了。接下来就是冲洗网站和qq服务器之间的沟通
然后的话,冲洗网站拿着用户凭证去找qq运营商,去换查看资源的通行证,qq运营商一确实:没错!,给你通行证。这里是qq授权服务器确认冲洗网站身份后,把accesstoken给他,有了accesstoken就可以访问用户的资源了
这里冲洗网站把accesstoken给qq运营商后,终于拿到了用户a的照片,可以打印啦!
思考:code的这一步有什么用?
1:不知道大家注意到没有,code这一步是用户端参与的,用户那端,人多眼,谁知道发生什么情况,所以code后,再加一步验证才能换取最终的accesstoken。
2:还有的话就是,一般来讲,虽然授权服务器,和资源服务器同属于一个运营商,(比喻)但是也不是同一个东西啊!我给你凭证,然后你去找我兄弟拿资源
随着互联网的深入发展,一些互联网巨头积累了海量的用户和数据。对于平台级软件厂商来说,用户的需求多种多样,变化万千以一己之力予以充分满足,难免疲于本命。因此将数据以接口的形式开放的众多的第三方开发者,便成了必然的趋势。第三方开发者经过二次开发,满足一小部分用户的独特需求,即能够是自己获取利益,也能够让数据流动起来,在大平台周围形成一个良性的生态环境能够,最终达到用户,平台商,第三方开发者共赢,在这样的背景下就诞生了OAUTH协议。
1769
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
