談談你對OAuth的理解，這道題你會了嗎？

1位工作5年的小夥伴被問到這樣一道面試題，說談談你對OAuth的理解。當時，這位小夥伴感覺回答得不是很理想，希望我拍一期視訊詳細地介紹一下。

今天，我給大家講一講，我對這個問題的理解。

1、什麼是 OAuth

OAuth是一個關於授權（Authorization）的開放技術標準，在全世界得到廣泛應用，它本質上是一種協議，可以在不共享使用者使用者名稱和密碼的前提下，實現將授權從應用程式另一個應用程式。如圖所示：

咱們可以使用QQ或者微信直接登入京東APP，而無需在京東重新註冊使用者。相當於，使用者可以在一個平臺上登入，獲得授權後，也可在另一平臺上執行操作和檢視資料。使用最為廣泛的場景是SSO（單點登入）。

舉個例子，有一位訪客需要在房主不在家時進到房間裡面，房主又不能把門鎖密碼告訴訪客，而是給預先發給訪客一張臨時房卡，這張房卡刷一次就失效了。OAuth 的工作方式和這個場景非常類似，一個應用程式向另一個應用傳送授權令牌來授予使用者訪問許可權，而不是傳送使用者的密碼。

2、OAuth的工作原理

我們知道，任何的身份認證，本質上都是基於對請求方的不信任產生的。而OAuth的出現，主要是解決多個應用之間的授權信任問題。在OAuth的互動過程中有四個參與角色，如圖所示：

它們分別是：

1. 資源所有者（Resource Owner）：一般是指咱們自己。
2. 客戶端（Client）：一般是指需要授權的應用，比如京東APP。
3. 資源伺服器（Resource Server）：一般是指儲存資訊的伺服器，比如QQ密碼和微信密碼的伺服器。
4. 授權伺服器（Authorization Server）：一般是指提API的伺服器，比如QQ的Open API服務，微信的Open API服務。

一般情況下，資源伺服器和認證伺服器是同一個服務，這樣更方便呼叫。OAuth的工作原理如圖所示：

第1步：客戶端向資源擁有者傳送授權請求，一般資源擁有者的資源會存放在資源伺服器。

第2步：客戶端會收到資源伺服器的授權許可。

第3步：客戶端拿到許可之後，再向授權伺服器傳送一次驗證，給客戶端頒發一個Access Token訪問令牌。

第4步：客戶端拿到令牌之後，交給資源伺服器。

第5步：資源伺服器會將獲取到的令牌傳給認證伺服器驗證令牌的有效性。

第6步：資源伺服器驗證令牌通過之後，就會返回一個受保護的資源。

在我們看到的這個流程中，最重要的是第2步，也就是在第3步獲取授權之前，客戶端要先申請許可資源的內容，比如使用者頭像，使用者暱稱等等。也就是客戶端向資源伺服器申請授權的時候，需要填寫以下授權所需的資訊，分別是：應用名稱、應用網站、重定向URI或者回調的URL（redirect_uri）、客戶端標識client_id和客戶端金鑰client_secret。這些資訊需要我們在 。

當然，OAuth一共設計了四種授權模式，分別是：

授權碼模式（Authorization Code Grant）。

簡化模式（Implicit Grant）。

密碼模式（Resource Owner Password Credentials Grant）。

客戶端模式（Client Credentials Grant）。

由於視訊時長的限制，我這裡就不詳細介紹了。有興趣的小夥伴可以在評論區回覆666，我可以單獨再拍攝一期視訊專門講解。

3、關於OAuth 2.0

OAuth 2.0 是 OAuth 的最新版本。OAuth 的首版於 2010 年釋出。OAuth 2.0 於 2012 年釋出，修復了 OAuth 1.0 中存在的若干漏洞。目前，大家基本上都只會使用OAuth2.0了。

好了，以上就是我對OAuth的理解。