定義OAuth(開放授權(quán))是一個(gè)開放標(biāo)準(zhǔn),允許用戶讓第三方應(yīng)用訪問該用戶在某一網(wǎng)站上存儲的私密的資源(如照片,視頻,聯(lián)系人列表),而無需將用戶名和密碼提供給第三方應(yīng)用���。
OAuth允許用戶提供一個(gè)令牌,而不是用戶名和密碼來訪問他們存放在特定服務(wù)提供者的數(shù)據(jù)。每一個(gè)令牌授權(quán)一個(gè)特定的網(wǎng)站(例如��,視頻編輯網(wǎng)站)在特定的時(shí)段(例如�����,接下來的2小時(shí)內(nèi))內(nèi)訪問特定的資源(例如僅僅是某一相冊中的視頻)。這樣�,OAuth允許用戶授權(quán)第三方網(wǎng)站訪問他們存儲在另外的服務(wù)提供者上的信息�,而不需要分享他們的訪問許可或他們數(shù)據(jù)的所有內(nèi)容����。
認(rèn)證和授權(quán)過程
在認(rèn)證和授權(quán)的過程中涉及的三方包括:- 服務(wù)提供方,用戶使用服務(wù)提供方來存儲受保護(hù)的資源�,如照片����,視頻���,聯(lián)系人列表。
- 用戶���,存放在服務(wù)提供方的受保護(hù)的資源的擁有者。
- 客戶端����,要訪問服務(wù)提供方資源的第三方應(yīng)用�����,通常是網(wǎng)站,如提供照片打印服務(wù)的網(wǎng)站���。在認(rèn)證過程之前,客戶端要向服務(wù)提供者申請客戶端標(biāo)識�。
使用OAuth進(jìn)行認(rèn)證和授權(quán)的過程如下所示:
- 用戶訪問客戶端的網(wǎng)站,想操作用戶存放在服務(wù)提供方的資源��。
- 客戶端向服務(wù)提供方請求一個(gè)臨時(shí)令牌。
- 服務(wù)提供方驗(yàn)證客戶端的身份后,授予一個(gè)臨時(shí)令牌���。
- 客戶端獲得臨時(shí)令牌后�����,將用戶引導(dǎo)至服務(wù)提供方的授權(quán)頁面請求用戶授權(quán)。在這個(gè)過程中將臨時(shí)令牌和客戶端的回調(diào)連接發(fā)送給服務(wù)提供方��。
- 用戶在服務(wù)提供方的網(wǎng)頁上輸入用戶名和密碼,然后授權(quán)該客戶端訪問所請求的資源。
- 授權(quán)成功后�����,服務(wù)提供方引導(dǎo)用戶返回客戶端的網(wǎng)頁����。
- 客戶端根據(jù)臨時(shí)令牌從服務(wù)提供方那里獲取訪問令牌�。
- 服務(wù)提供方根據(jù)臨時(shí)令牌和用戶的授權(quán)情況授予客戶端訪問令牌���。
- 客戶端使用獲取的訪問令牌訪問存放在服務(wù)提供方上的受保護(hù)的資源���。
OAuth 2.0
OAuth 2.0是OAuth協(xié)議的下一版本�����,但不向后兼容OAuth 1.0。 OAuth 2.0關(guān)注客戶端開發(fā)者的簡易性,同時(shí)為Web應(yīng)用,桌面應(yīng)用和手機(jī),和起居室設(shè)備提供專門的認(rèn)證流程�����。規(guī)范還在IETF OAuth工作組的開發(fā)中 �,按照Eran Hammer-Lahav的說法����,OAuth將于2010年末完成。
Facebook的新的Graph API只支持OAuth 2.0,Google在2011年3月亦宣佈Google API對OAuth 2.0的支援����。
posted on 2011-10-27 18:15
lincode 閱讀(328)
評論(0) 編輯 收藏