上周的工作有安全验证这一块,但不懂,只知道有几个关键字Oauth、secret-key 、token、签名等。今天就查下资料做笔记。
Oauth是什么
不依靠用户账号和密码就能获得访问资源权限
本质:一种开放的协议
作用:为用户资源的授权提供了一个安全的、开放而又简易的标准(不会使第三方触及到用户的帐号信息)。
特点:
简单:不管是OAUTH服务提供者还是应用开发者,都很易于理解与使用;
安全:没有涉及到用户密钥等信息,更安全更灵活;
开放:任何服务提供商都可以实现OAUTH,任何软件开发商都可以使用OAUTH;
URL:
Request Token URL: 获取未授权的Request Token服务地址;
User Authorization URL: 获取用户授权的Request Token服务地址;
Access Token URL: 用授权的Request Token换取Access Token的服务地址;
OAuth2.0定义了四种授权方式:
-
授权码模式(authorization code)
-
简化模式(implicit)
-
密码模式(resource owner password credentials)
-
客户端模式(client credentials)