oauth

应用场景

为了理解OAuth的适用场合，让我举一个假设的例子。
有一个”云冲印”的网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让”云冲印”读取自己储存在Google上的照片。
问题是只有得到用户的授权，Google才会同意”云冲印”读取这些照片。那么，”云冲印”怎样获得用户的授权呢？
传统方法是，用户将自己的Google用户名和密码，告诉”云冲印”，后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。

（1）"云冲印"为了后续的服务，会保存用户的密码，这样很不安全。
（2）Google不得不部署密码登录，而我们知道，单纯的密码登录并不安全。
（3）"云冲印"拥有了获取用户储存在Google所有资料的权力，用户没法限制"云冲印"获得授权的范围和有效期。
（4）用户只有修改密码，才能收回赋予"云冲印"的权力。但是这样做，会使得其他所有获得用户授权的第三方应用程序全部失效。
（5）只要有一个第三方应用程序被破解，就会导致用户密码泄漏，以及所有被密码保护的数据泄漏。

例子

我们来举个实际应用的例子
例如我想登陆csdn点击登陆（先退出csdn登陆）
进入后登陆界面是这样的：

在登陆按钮下面 有若干个小按钮，第三方帐号登陆，我相信我们大部分人以前都用过qq号去登陆别的网站，只是不知道原理这其中的原理而已。这些第三方帐号都是已经支持oauth认证的网站，有大量的用户信息。
假如我们有新浪帐号，这时候不想注册csdn，那么就可以用新浪帐号授权去登陆csdn.
点击图标后跳转到这个页面。

https://api.weibo.com/oauth2/authorize?client_id=2601122390&response_type=code&redirect_uri=https%3A%2F%2Fpassport.youkuaiyun.com%2Faccount%2Flogin%3Foauth_provider%3DSinaWeiboProvider

输入帐号之后就可以登陆csdn了，不过登陆进去之后 如果要使用某些功能，还是需要完善密码验证的。

整个认证的过程是这样的