oAuth协议学习

咱们的项目须要为一个认证网站开发一套API，这些API能够提供给不少公司来调用，可是公司在调用以前，必须先作受权认证，由此接触到了oAuth协议。

如下内容来自网络整理

定义

OAUTH协议为用户资源的受权提供了一个安全的、开放而又简易的标准。与以往的受权方式不一样之处是OAUTH的受权不会使第三方触及到用户的账号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就能够申请得到该用户资源的受权，所以OAUTH是安全的。

产生背景

若是一个用户拥有两项服务需求：一项服务是图片在线存储服务A，另外一个是图片在线打印服务B。如

下图所示。因为服务A与服务B是由两家不一样的服务提供商提供的，因此用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户

要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的 账号再去服务A处下载待打印的图片，这种方式效率是提升了，可是安全性大大下降了，服务B能够使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。

 

oAuth的解决思路

用OAUTH实现背景一节中的典型案例：当服务B（打印服务）要访问用户的服务A（图片服务）时，经过OAUTH机制，服务B向服务A请求未经用户受权的Request Token后，服务A将引导用户在服务A的网站上登陆，并询问用户是否将图片服务受权给服务B。用户赞成后，服务B就能够访问用户在服务A上的图片服务。整个过程服务B没有触及到用户在服务A的账号信息。

 

 

OAUTH认证受权就三个步骤，三句话能够归纳：

1. 获取未受权的Request Token

2. 获取用户受权的Request Token

3. 用受权的Request Token换取Access Token

当应用拿到Access Token后，就能够有权访问用户受权的资源了。你们可能看出来了，这三个步骤不就是对应OAUTH的三个URL服务地址嘛。一点没错，上面的三个步骤中，每一个步骤分别请求一个URL，而且收到相关信息，而且拿到上步的相关信息去请求接下来的URL直到拿到Access Token。

具体每步执行信息以下：

A. 使用者（ 第三方软件）向OAUTH服务提供商请求未受权的Request Token。向Request Token URL发起请求，请求须要带上的参数见上图。

B. OAUTH服务提供商赞成使用者的请求，并向其颁发未经用户受权的oauth_token与对应的oauth_token_secret，并返回给使用者。

C. 使用者向OAUTH服务提供商请求用户受权的Request Token。向User Authorization URL发起请求，请求带上上步拿到的未受权的token与其密钥。

D. OAUTH服务提供商将引导用户受权。该过程可能会提示用户，你想将哪些受保护的资源受权给该应用。此步可能会返回受权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。

E. Request Token 受权后，使用者将向Access Token URL发起请求，将上步受权的Request Token换取成Access Token。请求的参数见上图，这个比第一步A多了一个参数就是Request Token。

F. OAUTH服务提供商赞成使用者的请求，并向其颁发Access Token与对应的密钥，并返回给使用者。

G. 使用者之后就能够使用上步返回的Access Token访问用户受权的资源。

从上面的步骤能够看出，用户始终没有将其用户名与密码等信息提供给使用者（ 第三方软件），从而更安全。