后来者居上

为了请求访问令牌，客户端从资源所有者获得授权。授权表现为授权许可的形式，客户端用它请求访问令牌。OAuth定义了四种许可类型：授权码、隐式许可、资源所有者密码凭据和客户端凭据。它还提供了扩展机制定义其他许可类型。

授权过程采用了两种授权服务器端点（HTTP资源）：授权端点——客户端用其通过用户代理重定向从资源所有者获取授权。令牌端点——客户端用其将授权许可交换为访问令牌，通常伴有客户端身份验证。以及一种客户端端点：重定向端点——授权服务器用其通过资源所有者用户代理向客户端返回含有授权凭据的响应。

在开始协议前，客户端在授权服务器注册。客户端在授权服务器上注册所通过的方式超出了本规范，但典型的涉及到最终用户与HTML注册表单的交互。客户端注册不要求客户端与授权服务器之间的直接交互。在授权服务器支持时，注册可以依靠其他方式来建立信任关系并获取客户端的属性（如重定向URI、客户端类型）。例如，注册可以使用自发行或第三方发行声明或通过授权服务器使用信任通道执行客户端发现完成。

在传统的客户端-服务器身份验证模式中，客户端请求服务器上访问受限的资源（受保护的资源）时，需要使用资源所有者的凭据在服务器上进行身份验证。资源所有者为了给第三方应用提供受限资源的访问权限，需要与第三方共享它的凭据。第三方应用需要存储资源所有者的凭据以供将来使用。该凭据通常是明文密码。服务器需要支持密码身份认证，尽管密码认证有固有的安全缺陷。第三方应用获得了对资源所有者的受保护资源的过于宽泛的访问权限，从而导致资源所有者不能限制对资源的有限子集的访问时限或权限。