OAUTH SECURITY
Who Use OAuth?
这仅仅是冰山一角,OAuth授权机制目前在国内得到了相当广泛的应用,包括
各大电商,SNS交友,连锁酒店,招聘,旅游,微博,邮件系统等各类网站。
一,OAUTH那点事儿
OAuth三两言
OAuth(开放授权)是一种授权(Authorisation)协议而非认证协议
(Authentication)
OAuth协议最大的进步是能够使第三方在不用获得目标网站账密的情况
下使用目标网站的用户资源
随着开放式REST风格API的广泛使用,使得OAuth协议被应用的越来越
广泛
对于用户:免去了繁琐的注册过程,降低了注册成本,提高了用户体验
对于消费方:简化自身会员系统的同时又能够带来更多的用户和流量。
对于服务提供者:围绕自身进行开发,增加用户粘性。
二,OAUTH1.0&SECURITY ISSUE
OAuth1.0 授权流程
第三方应用 开放平台 用户
请求未授权request token
创建request token及密钥
重定向至授权页,询问
用户是否授权
用户同意或取消授权
使用授权后req token
请求access token
创建并返回access token及密钥
使用access token获取用户信息