1.爲什麼需要Oath2
如果需要獲取資源,一般需要用戶名,密碼認證。
這種設計方法有缺陷。
1.需要把用戶名密碼告訴第三方應用,第三方應用纔可以獲取資源
2.無法有效管理獲取資源的權限
3.如果第三方應用多,難以回收密碼
2.Oath2的認證流程
1.第三方應用引導用戶跳轉的第三方認證服務器(提供第三方信息和第三方需要的資源)
2.用戶進行第三方登錄
3.用戶登錄成功,回調第三方URL地址,並且附帶一個code授權碼。
4.授權碼是明文帶在URL上面的,用戶無法使用授權碼直接訪問資源。
5.第三方應用通過授權碼和第三方身份獲取token
ps:用戶不可以直接通過code訪問資源或者獲取token是因爲此時的code是明文,而且是在瀏覽器URL上面的,容易被木馬程序利用。所以獲取token還需要第三方的標示等信息,也就是說,獲取資源發生在服務器上面了,隔離了用戶直接獲取資源的能力,加強安全性。
6.獲取了token就結束流程了