本文详细介绍了 OAuth 认证协议的工作原理及其在不同角色之间的应用,包括服务提供商、用户及第三方应用开发者如何实现安全的数据授权过程。通过类比说明了 OAuth 如何确保第三方应用在不需要用户凭据的情况下安全地获取所需信息。
官方流程图
Oauth:
1.一种安全认证协议
2.为用户资源的授权提供了一个安全开发简易的标准
3.不会使第三方触及到用户的账号信息(用户名,密码)
第一方:腾讯服务端
第二方:腾讯用户
第三方:app开发者(不接收用户名,密码 更安全)
三种角色:
service provider 验证用户身份,信息 用户信息
user 用户不希望把隐私信息公开,但用户却需要将信息公开给某网站
consumer:第三方app,需要得到用户的私有信息,但还不能存储他的密码
protect resource
A B
B代替A去银行取钱
B到达银行后 银行询问A,1.确认用户名,密码
2.确认B的身份
确认通过后银行把钱给B
整个过程,B不用知道A的用户名,密码 银行也能确认身份
未授权的令牌
授权过的令牌(登陆成功后)
获取访问令牌(以后就可以直接访问用户的信息了)
三个url:
1、request token url:获取未授权的request token 的服务器地址
提供自己的 appkey,appid 来验证应用程序是否在server上注册,成功则返回 未授权的令牌
2、user authorization url:获取用户授权的 request token
根据用户输入的用户名、密码去server端验证,成功后返回授权过的令牌
3、access token url:使用授权的后的token去换去访问(access)token
加密算法:
sha1 单向
扫一扫
638
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
