OAuth协议致力于使应用能够在无须用户透露其认证证书或者密码的情况下,通过API访问开放平台的服务的隐私资源。更一般地说,OAuth为开放API认证提供了一个可自由实现且通用的方法。
详细说来,整个过程如下:
1. 应用使用者请求应用
2. 应用发现有应用使用者的请求,则通过APP ID及Secret向开放平台请求获取未授权的请求令牌
3. 开放平台向应用签发未授权的请求令牌
4. 应用引导应用使用者至开放平台提供商的登录服务器,服务提供方认证用户并获取许可
5. 开放平台提供商的登录服务器将应用使用者引导回应用(通过callback URL)
6. 应用向开放平台请求访问令牌
7. 开放平台授予访问令牌
8. 应用访问受保护的资源,应用使用者享用应用。