本人基于OAuth2協(xié)議開源的一個(gè)具體實(shí)現(xiàn)
github：https://github.com/goodchax/OAuth2

OAuth是一個(gè)關(guān)于授權(quán)（authorization）的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)，在全世界得到廣泛應(yīng)用，目前的版本是2.0版。
本文對(duì)OAuth 2.0的設(shè)計(jì)思路和運(yùn)行流程，做一個(gè)簡(jiǎn)明通俗的解釋，主要參考材料為RFC 6749。

一、使用場(chǎng)景

為了理解OAuth的適用場(chǎng)合，讓我舉一個(gè)假設(shè)的例子。
有一個(gè)"云沖印"的網(wǎng)站，可以將用戶儲(chǔ)存在Google的照片，沖印出來(lái)。用戶為了使用該服務(wù)，必須讓"云沖印"讀取自己儲(chǔ)存在Google上的照片。

云沖印

問題是只有得到用戶的授權(quán)，Google才會(huì)同意"云沖印"讀取這些照片。那么，"云沖印"怎樣獲得用戶的授權(quán)呢？
傳統(tǒng)方法是，用戶將自己的Google用戶名和密碼，告訴"云沖印"，后者就可以讀取用戶的照片了。這樣的做法有以下幾個(gè)嚴(yán)重的缺點(diǎn)。
（1）"云沖印"為了后續(xù)的服務(wù)，會(huì)保存用戶的密碼，這樣很不安全。
（2）Google不得不部署密碼登錄，而我們知道，單純的密碼登錄并不安全。
（3）"云沖印"擁有了獲取用戶儲(chǔ)存在Google所有資料的權(quán)力，用戶沒法限制"云沖印"獲得授權(quán)的范圍和有效期。
（4）用戶只有修改密碼，才能收回賦予"云沖印"的權(quán)力。但是這樣做，會(huì)使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效。
（5）只要有一個(gè)第三方應(yīng)用程序被破解，就會(huì)導(dǎo)致用戶密碼泄漏，以及所有被密碼保護(hù)的數(shù)據(jù)泄漏。

OAuth就是為了解決上面這些問題而誕生的。

二、名詞定義

在詳細(xì)講解OAuth 2.0之前，需要了解幾個(gè)專用名詞。它們對(duì)讀懂后面的講解，尤其是幾張圖，至關(guān)重要。

（1） Third-party application：第三方應(yīng)用程序，本文中又稱"客戶端"（client），即上一節(jié)例子中的"云沖印"。

（2）HTTP service：HTTP服務(wù)提供商，本文中簡(jiǎn)稱"服務(wù)提供商"，即上一節(jié)例子中的Google。

（3）Resource Owner：資源所有者，本文中又稱"用戶"（user）。

（4）User Agent：用戶代理，本文中就是指瀏覽器。

（5）Authorization server：認(rèn)證服務(wù)器，即服務(wù)提供商專門用來(lái)處理認(rèn)證的服務(wù)器。

（6）Resource server：資源服務(wù)器，即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器，可以是同一臺(tái)服務(wù)器，也可以是不同的服務(wù)器。

知道了上面這些名詞，就不難理解，OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán)，與"服務(wù)商提供商"進(jìn)行互動(dòng)。

三、OAuth的思路

OAuth在"客戶端"與"服務(wù)提供商"之間，設(shè)置了一個(gè)授權(quán)層（authorization layer）。"客戶端"不能直接登錄"服務(wù)提供商"，只能登錄授權(quán)層，以此將用戶與客戶端區(qū)分開來(lái)。"客戶端"登錄授權(quán)層所用的令牌（token），與用戶的密碼不同。用戶可以在登錄的時(shí)候，指定授權(quán)層令牌的權(quán)限范圍和有效期。
"客戶端"登錄授權(quán)層以后，"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期，向"客戶端"開放用戶儲(chǔ)存的資料。

四、運(yùn)行流程

OAuth 2.0的運(yùn)行流程如下圖，摘自RFC 6749。

OAuth運(yùn)行流程

（A）用戶打開客戶端以后，客戶端要求用戶給予授權(quán)。
（B）用戶同意給予客戶端授權(quán)。
（C）客戶端使用上一步獲得的授權(quán)，向認(rèn)證服務(wù)器申請(qǐng)令牌。
（D）認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后，確認(rèn)無(wú)誤，同意發(fā)放令牌。
（E）客戶端使用令牌，向資源服務(wù)器申請(qǐng)獲取資源。
（F）資源服務(wù)器確認(rèn)令牌無(wú)誤，同意向客戶端開放資源。

不難看出來(lái)，上面六個(gè)步驟之中，B是關(guān)鍵，即用戶怎樣才能給于客戶端授權(quán)。有了這個(gè)授權(quán)以后，客戶端就可以獲取令牌，進(jìn)而憑令牌獲取資源。
下面一一講解客戶端獲取授權(quán)的四種模式。

五、客戶端的授權(quán)模式

客戶端必須得到用戶的授權(quán)（authorization grant），才能獲得令牌（access token）。OAuth 2.0定義了四種授權(quán)方式。
授權(quán)碼模式（authorization code）
簡(jiǎn)化模式（implicit）
密碼模式（resource owner password credentials）
客戶端模式（client credentials）

引用至：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html具體可參考此文章，后續(xù)我將重新進(jìn)行說(shuō)明

很高興認(rèn)識(shí)你，我們都一樣，有過(guò)迷茫卻從未放棄；害怕孤獨(dú)可從不寂寞。