OAuth2

近期在研究关于OAuth2相关的安全授权知识,发现网上资料甚多,但是都很浅显,容易让人产生误解。

该OAuth网站 介绍的OAuth为:
An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.
翻译:
一种开放协议，允许web、移动和桌面应用程序以简单和标准的方法进行安全授权。

本质上，OAuth是一种安全开发协议，使用户能够在不共享密码的情况下授予第三方对其Web资源的访问权限。

OAuth源自Twitter和Ma.gnolia的开发人员之间的讨论，他们希望授权桌面应用程序访问其服务。2007年成立了一个工作组，起草一项开放标准的提案。Google和Yahoo的开发人员也为这项工作做出了贡献。

OAuth Core 1.0的第一版草案于2007年末发布。2008年，互联网工程任务组（IETF）决定采用该规范，以进行更广泛的讨论和进一步的标准化工作。

于2008年6月发布了一个次要修订版（OAuth 1.0修订版A）来修复安全漏洞。OAuth 1.0协议由IETF OAuth工作组于2010年4月发布为RFC 5849。

许多Internet公司和服务都采用OAuth 1.0，但由于开发人员需要传递复杂的签名，并且客户端和服务之间的请求过多，因此开发人员无法使用OAuth 1.0。

在2010年5月，OAuth协议2.0版的工作开始了。2.0版与OAuth 1.0a向后不兼容，并且着重于开发人员的简便性。它还具有更多的流程以允许在更多情况下使用OAuth，以及对核心协议的扩展以实现与基于断言的协议（例如SAML）的互操作性。

名词介绍

（1） Third-party application：第三方应用程序，本文中又称"客户端"（client），比如打开知乎，使用第三方登录，选择qq登录，这时候知乎就是客户端。
（2）HTTP service：HTTP服务提供商，本文中简称"服务提供商"，即上例的qq。
（3）Resource Owner：资源所有者，本文中又称"用户"（user）,即登录用户。
（4）User Agent：用户代理，本文中就是指浏览器。
（5）Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。
（6）Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

授权模式

授权码模式（authorization code）

简化模式（implicit）

密码模式（resource owner password credentials）

客户端模式（client credentials）

个人见解

自己系统内的用户,登录系统无需用oauth 来登录! oauth 是用来暴露接口给第三方应用来调用,而不需要将本系统内的账户密码暴露给第三方,所以密码模式一般不去使用,会将自己系统的用户名密码暴露,因此密码模式一般用户客户端和资源服务器都是自己企业的项目。那些帖子自己单系统用oauth密码模式来登录不知道是如何来想的…oauth注要是用来解决三方授权,不是解决单系统的授权认证…单系统完全无需用oauth来授权认证!
个人见解,如有理解有误,希望大佬来指正

参考:
https://blog.csdn.net/thewindofson/article/details/107703234
https://www.jianshu.com/p/84a4b4a1e833