分类存档: 协议&模型

1,822 查看

OAuth2.0中的关键性概念解释

一、角色                                                                                                                               OAuth定义了四种角色: 1、resource owner资源所有者 可以获得授权去访问受保护的资源的实体。这句很绕口,简单来说就是资源的所有者,这个所有者是指当初上传或生成的那个所有者,并不是指服务器的所有者。比如,anykoro在新浪微博中发了一篇微博,这个时候anykoro是resource owner,这篇微博就是resource 2、resource server资源服务器 承载受保护资源的服务器,可以接收和响应使用access token(访问令牌)请求受保护资源。 我们继续前面的例子,这里新浪微博的服务器就是resource server,它提供了可以通过access token获取anykoro所发微博的功能。如果不能提供这个功能,那么当然也就称不上resource server。 3、client客户 一个产生受保护资源请求的应用,该应用代表resource owner,并且已经获得其授权。所以其实客户就是指前面说到的这种特性的应用,是种application。还是继续前面的例子,现在anykoro在xxx网站,使用新浪微博账号登陆。此时这个xxx网站就是client。anykoro是resource owner,请求资源的服务器就是resource server。这里将这三个一起做总结,主要是因为,为了便于理解。 4、authorization server授权服务器 用来分发access token的服务器,主要分发给client,反过来说,就是client会向authorization server请求access token。当client获得access token后,才能说已经验证了resource owner,并且已经获得其授权。 这个部分对应什么?比如,anykoro使用新浪账号登陆时,会出现类似下图的情况, 点击授权后,client就获得了authorization code。 注意:现在来让用户做授权与否操作的,可不是authorization server!!! 真正的authorization server是给client用的,anykoro是看不到的。 二、协议流                                                                                                                              接下来让我们看一张图,来更好的理解四种角色间的交互作用 +——–+ +—————+ | |–(A)- …

继续阅读 »

无觅相关文章插件,快速提升流量