Oauth2
token vs password
- 令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。
- 令牌可以被数据所有者撤销,会立即失效。
- 令牌有权限范围(scope),对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。
OAuth2.0的四种方式
授权码模式 authorization-code
- 样例
->https://b.com/oauth/authorize? response_type=code& client_id=CLIENT_ID& redirect_uri=CALLBACK_URL& scope=read
->https://b.com/oauth/token? client_id=CLIENT_ID& client_secret=CLIENT_SECRET& grant_type=authorization_code& code=AUTHORIZATION_CODE& redirect_uri=CALLBACK_URL
- 步骤
- 场景:用户X正在使用A网站,他准备授权A网站去B网站 读取一些用户自己在B网站注册账户里的信息
- 步骤1: A网站给客户端一个B网站地址的url
- url参数上携带 client_id 、 回调地址 等参数
- url参数上携带 client_id 、 回调地址 等参数