1位工作5年的小伙伴被問到這樣一道面試題，說談談你對OAuth的理解。當時，這位小伙伴感覺回答得不是很理想，希望我拍一期視頻詳細地介紹一下。

今天，我給大家講一講，我對這個問題的理解。

1、什么是 OAuth

OAuth是一個關于授權（Authorization）的開放技術標準，在全世界得到廣泛應用，它本質上是一種協(xié)議，可以在不共享用戶用戶名和密碼的前提下，實現(xiàn)將授權從應用程序另一個應用程序。如圖所示：

咱們可以使用QQ或者微信直接登錄京東APP，而無需在京東重新注冊用戶。相當于，用戶可以在一個平臺上登錄，獲得授權后，也可在另一平臺上執(zhí)行操作和查看數(shù)據(jù)。使用最為廣泛的場景是SSO（單點登錄）。

舉個例子，有一位訪客需要在房主不在家時進到房間里面，房主又不能把門鎖密碼告訴訪客，而是給預先發(fā)給訪客一張臨時房卡，這張房卡刷一次就失效了。OAuth 的工作方式和這個場景非常類似，一個應用程序向另一個應用發(fā)送授權令牌來授予用戶訪問權限，而不是發(fā)送用戶的密碼。

2、OAuth的工作原理

我們知道，任何的身份認證，本質上都是基于對請求方的不信任產生的。而OAuth的出現(xiàn)，主要是解決多個應用之間的授權信任問題。在OAuth的交互過程中有四個參與角色，如圖所示：

它們分別是：

1. 資源所有者（Resource Owner）：一般是指咱們自己。
2. 客戶端（Client）：一般是指需要授權的應用，比如京東APP。
3. 資源服務器（Resource Server）：一般是指保存信息的服務器，比如QQ密碼和微信密碼的服務器。
4. 授權服務器（Authorization Server）：一般是指提API的服務器，比如QQ的Open API服務，微信的Open API服務。

一般情況下，資源服務器和認證服務器是同一個服務，這樣更方便調用。OAuth的工作原理如圖所示：

第1步：客戶端向資源擁有者發(fā)送授權請求，一般資源擁有者的資源會存放在資源服務器。

第2步：客戶端會收到資源服務器的授權許可。

第3步：客戶端拿到許可之后，再向授權服務器發(fā)送一次驗證，給客戶端頒發(fā)一個Access Token訪問令牌。

第4步：客戶端拿到令牌之后，交給資源服務器。

第5步：資源服務器會將獲取到的令牌傳給認證服務器驗證令牌的有效性。

第6步：資源服務器驗證令牌通過之后，就會返回一個受保護的資源。

在我們看到的這個流程中，最重要的是第2步，也就是在第3步獲取授權之前，客戶端要先申請許可資源的內容，比如用戶頭像，用戶昵稱等等。也就是客戶端向資源服務器申請授權的時候，需要填寫以下授權所需的信息，分別是：應用名稱、應用網站、重定向URI或者回調的URL（redirect_uri）、客戶端標識client_id和客戶端密鑰client_secret。這些信息需要我們在 。

當然，OAuth一共設計了四種授權模式，分別是：

授權碼模式（Authorization Code Grant）。

簡化模式（Implicit Grant）。

密碼模式（Resource Owner Password Credentials Grant）。

客戶端模式（Client Credentials Grant）。

由于視頻時長的限制，我這里就不詳細介紹了。有興趣的小伙伴可以在評論區(qū)回復666，我可以單獨再拍攝一期視頻專門講解。

3、關于OAuth 2.0

OAuth 2.0 是 OAuth 的最新版本。OAuth 的首版于 2010 年發(fā)布。OAuth 2.0 于 2012 年發(fā)布，修復了 OAuth 1.0 中存在的若干漏洞。目前，大家基本上都只會使用OAuth2.0了。

好了，以上就是我對OAuth的理解。