概念:
OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据.
核心是怎么向第三方应用发放令牌
客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。
其中最完善常用的就是授权码模式(authorization code),常见于企业微信、公众号、钉钉等各种接口调用的场景
OAuth 2.0定义了四种授权方式。
1、授权码模式(authorization code)
2、简化模式(implicit)
简化模式(implicit grant type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。因为令牌直接从授权服务器返回,所以没有安全保证,令牌容易因为被拦截窃听而泄露。
3、密码模式(resource owner password credentials)
4、客户端模式(client credentials)
