前言

最經(jīng)要定義一些接口于是接觸到了OAuth2.0這樣的第三方接口機(jī)制，所以就簡單的了解下，把學(xué)習(xí)感想發(fā)在這里以便以后參考回顧

了解 OAuth2.0

其實網(wǎng)上有一篇大神阮一峰寫的博文已近寫的很好了，在這里直接就引用他的博文來講。

OAuth是一個關(guān)于授權(quán)（authorization）的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)，在全世界得到廣泛應(yīng)用，目前的版本是2.0版。

為了理解OAuth的適用場合，讓我舉一個假設(shè)的例子。

有一個”云沖印”的網(wǎng)站，可以將用戶儲存在Google的照片，沖印出來。用戶為了使用該服務(wù)，必須讓”云沖印”讀取自己儲存在Google上的照片。
云沖印 問題是只有得到用戶的授權(quán)，Google才會同意”云沖印”讀取這些照片。那么，”云沖印”怎樣獲得用戶的授權(quán)呢？
傳統(tǒng)方法是，用戶將自己的Google用戶名和密碼，告訴”云沖印”，后者就可以讀取用戶的照片了。這樣的做法有以下幾個嚴(yán)重的缺點。
（1）”云沖印”為了后續(xù)的服務(wù)，會保存用戶的密碼，這樣很不安全。
（2）Google不得不部署密碼登錄，而我們知道，單純的密碼登錄并不安全。
（3）”云沖印”擁有了獲取用戶儲存在Google所有資料的權(quán)力，用戶沒法限制”云沖印”獲得授權(quán)的范圍和有效期。
（4）用戶只有修改密碼，才能收回賦予”云沖印”的權(quán)力。但是這樣做，會使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效。
（5）只要有一個第三方應(yīng)用程序被破解，就會導(dǎo)致用戶密碼泄漏，以及所有被密碼保護(hù)的數(shù)據(jù)泄漏。 OAuth就是為了解決上面這些問題而誕生的。

在詳細(xì)講解OAuth 2.0之前，需要了解幾個專用名詞。它們對讀懂后面的講解，尤其是幾張圖，至關(guān)重要。

（1） Third-party application：第三方應(yīng)用程序，本文中又稱”客戶端”（client），即上一節(jié)例子中的”云沖印”。
（2）HTTP service：HTTP服務(wù)提供商，本文中簡稱”服務(wù)提供商”，即上一節(jié)例子中的Google。
（3）Resource Owner：資源所有者，本文中又稱”用戶”（user）。
（4）User Agent：用戶代理，本文中就是指瀏覽器。
（5）Authorization server：認(rèn)證服務(wù)器，即服務(wù)提供商專門用來處理認(rèn)證的服務(wù)器。
（6）Resource server：資源服務(wù)器，即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器，可以是同一臺服務(wù)器，也可以是不同的服務(wù)器。

總體來說：OAuth 就是在”客戶端”與”服務(wù)提供商”之間，設(shè)置了一個授權(quán)層（authorization layer）。”客戶端”不能直接登錄”服務(wù)提供商”，只能登錄授權(quán)層，以此將用戶與客戶端區(qū)分開來。這樣一來互相都保證了獨立性以及信息的安全性。

那么用OAuth來封裝接口的意義就是：接口使用方可以安全可靠的拿到你服務(wù)器的資源，但不至于拿到你過多的資源，保護(hù)了自己的信息安全也保證了接口的可靠和正規(guī)性

OAuth 2.0的運行流程如下圖，摘自阮一峰大神博文

（A）用戶打開客戶端以后，客戶端要求用戶給予授權(quán)。
（B）用戶同意給予客戶端授權(quán)。
（C）客戶端使用上一步獲得的授權(quán)，向認(rèn)證服務(wù)器申請令牌。
（D）認(rèn)證服務(wù)器對客戶端進(jìn)行認(rèn)證以后，確認(rèn)無誤，同意發(fā)放令牌。
（E）客戶端使用令牌，向資源服務(wù)器申請獲取資源。
（F）資源服務(wù)器確認(rèn)令牌無誤，同意向客戶端開放資源。

不難看出來，上面六個步驟之中，B是關(guān)鍵，即用戶怎樣才能給于客戶端授權(quán)。有了這個授權(quán)以后，客戶端就可以獲取令牌，進(jìn)而憑令牌獲取資源。而授權(quán)我們又擁有幾種授權(quán)的模式。

授權(quán)碼模式（authorization code）

簡化模式（implicit）

密碼模式（resource owner password credentials）

客戶端模式（client credentials）

這里我們只將第一種也是最全面的模式

授權(quán)碼模式

---

授權(quán)碼模式（authorization code）是功能最完整、流程最嚴(yán)密的授權(quán)模式。它的特點就是通過客戶端的后臺服務(wù)器，與”服務(wù)提供商”的認(rèn)證服務(wù)器進(jìn)行互動。

OAuth 2.0的授權(quán)碼模式運行流程如下圖，摘自阮一峰大神博文

（A）用戶訪問客戶端，后者將前者導(dǎo)向認(rèn)證服務(wù)器。 （B）用戶選擇是否給予客戶端授權(quán)。
（C）假設(shè)用戶給予授權(quán)，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的”重定向URI”（redirection URI），同時附上一個授權(quán)碼。
（D）客戶端收到授權(quán)碼，附上早先的”重定向URI”，向認(rèn)證服務(wù)器申請令牌。這一步是在客戶端的后臺的服務(wù)器上完成的，對用戶不可見。
（E）認(rèn)證服務(wù)器核對了授權(quán)碼和重定向URI，確認(rèn)無誤后，向客戶端發(fā)送訪問令牌（access token）和更新令牌（refresh
token）。

這就是授權(quán)碼模式的基本原理，那么如何結(jié)合PHP呢？下一篇開始學(xué)習(xí)

總結(jié)

以上是生活随笔為你收集整理的【学无止境】基于ThinkPHP的OAuth2.0实现 ------ OAuth2.0个人学习笔记 One的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。