1、首先 有 用户数据
2、有个客户应用需要访问用户的数据
3、给资源服务器按个门暴露用户数据称为API
4、客户应用可以通过API访问用户数据
5、资源服务器返回用户数据
6、如果来了个恶意客户应用怎么办
7、即使恶意客户应用要求访问用户数据
8、资源服务器还是返回用户数据
9、需要一种机制保护用户数据
10、业界实践是提前给客户应用颁发一个Access Token, 它表示客户应用被授权可以访问用户数据
11、访问用户数据时,给出Access Token
12、资源服务器取出请求中的Access Token
13、并校验Access Token确认客户应用有访问 用户数据的权限
14、校验通过后,资源服务器返回用户数据
15、该机制可以工作的前提是
必须提前给客户应用颁发Access Toke
16、需要颁发Access Token的角色
17、授权服务器和客户应用的关系
18、授权服务器负责生成Access Toke
19、并给客户应用颁发Access Token
20、角色回顾:一个授权服务器,一个客户应用,一个资源服务器
21、授权服务器负责生成Access Token
22、并将Access Token颁发给客户应用
23、客户应用带上Access Token访问用户数据
24、资源服务器从请求中取出Access Token
25、校验Access Token具有访问用户数据的权限
26、校验Access Token具有访问用户数据的权限
27、上面的流程中第一步是授权服务器生成Access Token, 在真实流程中,在颁发Token前先要征询用户同意
28、首先客户应用请求Access Token
授权服务器征询用户意见,是否将权限授予客户应用
如果用户同意授权服务器颁发token
授权服务器生成一个Access Token
并将token颁发给客户应用
注意黄色椭圆圈起来的部分
注意黄色椭圆圈起来的部分
OAuth 2.0标准化了Access Token的请求和响应部分,
OAuth2.0的细节在RFC 6749(OAuth 2.0授权框架)中描述
扫一扫
1946
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
