OAuth概念
OAuth目前已经成为互联网标准协议之一
字面意理解:open authorization 开放授权,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将密码等数据提供给第三方应用。
原版:OAuth is a security protocol that enables users to grant third-party access to their web resources without sharing their passwords.
例如:
OAuth授权过程
在认证和授权的过程中涉及的三方包括:
- 服务提供方,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表。
- 用户,存放在服务提供方的受保护的资源的拥有者。
- 客户端,要访问服务提供方资源的第三方应用,通常是网站,如提供照片打印服务的网站。在认证过程之前,客户端要向服务提供者申请客户端标识。
OAuth2.0与OAuth1.0对比
对比点 | OAuth1.0 | OAuth2.0 | 对比结果 |
---|---|---|---|
是否兼容 | - | OAuth 2.0是个全新的协议 | 不兼容 |
token有效期 | 有效期非常长的token(典型的是一年有效期或者无有效期限制) | 短有效期的access token和长生命期的refresh token。这将允许客户端无需用户再次操作而获取一个新的access token,并且也限制了access token的有效期 | 不兼容 |
协议 | 采用http | 采用https | 2.0更加安全</ |