OAuth协议详细介绍

1、OAuth产生的背景

随着互联网的深入发展，一些互联网巨头积累了海量的用户和数据。对于平台级软件厂商来说，用户的需求多种多样，变化万千以一己之力予以充分满足，难免疲于本命。因此将数据以接口的形式开放的众多的第三方开发者，便成了必然的趋势。第三方

开发者经过二次开发，满足一小部分用户的独特需求，即能够是自己获取利益，也能够让数据流动起来，在大平台周围形成一个

良性的生态环境能够，最终达到用户，平台商，第三方开发者共赢，在这样的背景下就诞生了OAUTH协议。

2、OAuth协议简介

OAUTH 协议旨在为用户资源的授权访问提供一个安全，开放的标准。平台商通过OAUTH协议，提示用户对第三方软件厂商(ISV)进进行授权。使得第三方软件厂商能够使用平台商的部分数据，对用户提供服务。与以往的授权形式不同，OAUTH协议并不需要触及用户的账户信息和密码，便可以完成第三方对用户信息访问的授权。

用户通过平台商对第三方应用进行授权，而第三方应用得到授权后，便可以对一定时间内，通过平台商提供接口，访问到用户授权的信息，为用户提供服务。

3、OAuth授权过程

协议的核心思想是将资源做权限分级和隔离，ISV引导用户在平台端登录，完成授权。获得授权后ISV可以在一定时间段内，访问用户的私有数据，用户完全可以把控这一过程，且授权可以取消。

要活的OAUTH协议授权：

1.需要第三方开发者向平台商申请应用ID,即APPID,对自己的APP进行注册。

2.一次OAUTH授权包括三个角色：

1.普通用户

2.第三方应用(ISV)

3.平台商。

3. 授权过程如下：

1.用户先对ISV的应用进行访问，发起请求。

2.ISV接收到用户请求后，再向平台商请求REQUEST TOKEN,并带上其申请的APPID.

3.平台将返回给ISV应用 REQUEST TOKEN.

4.ISV应用将用户引导到平台授权页面，并带上自己的APPID,REQUEST TOKEN和回调地址。

5.用户在平台页面上进行登录，并且完成授权。(这样就不会将用户名，密码暴露给第三方)。

6.平台通过ISV提供的回调链接，返回给ISV应用ACCESS TOKEN。

7.ISV 应用通过 ACCESS TOKEN 取到用户授权数据，进行加工后返回给用户，授权数据访问完成。