最近学习了OAuth 2.0的协议族,获益匪浅,对认证,授权都有了新的,进一步认识。在这里做用序列图记录与总结所有的场景,以共勉。
系列全文以资源拥有者授权客户端访问受保护照片访问为例,模拟了多个场景。
Oauth是一个授权协议框架,包含多个协议,支持多种场景。典型的场景就是资源拥有者将受保护资源的访问权限委托给一个客户端程序,权限的载体就是访问令牌,而令牌由授权服务器颁发。令牌颁发后,将不需要资源拥有者参与后续的授权验证过程。客户端获得访问令牌之后,将令牌出示给受保护资源服务器,受保护资源服务器验证访问令牌,决定是否将资源交给客户端。
OAuth 2.0协议:授权码(auth-code)
在OAuth 2.0的所有协议里面,授权码是最核心的一个协议,理解它,就相当于理解了OAuth2.0的核心。
response type:code
grant type: authorization code
token type: bearer
token: access token