OAuth 2.0 - 概述

什么是 OAuth 2.0？

OAuth 是一种开放授权协议，它允许客户端应用程序访问资源所有者的资源，这些应用程序运行在诸如 Facebook、GitHub 等 HTTP 服务上。它允许在不使用用户凭据的情况下，将存储在一个站点上的资源共享到另一个站点。它使用用户名和密码令牌代替。

OAuth 2.0 由 *IETF OAuth 工作组* 开发，于 2012 年 10 月发布。

为什么使用 OAuth 2.0？

• 您可以使用 OAuth 2.0 从另一个应用程序读取用户的 数据。

• 它为 Web、桌面应用程序和移动设备提供授权工作流程。

• 它是一个服务器端 Web 应用程序，使用授权码，并且不与用户凭据交互。

OAuth 2.0 的特性

• OAuth 2.0 是一种简单的协议，允许访问用户的资源而无需共享密码。

• 它提供用户代理流程，用于使用脚本语言（例如 JavaScript）运行客户端应用程序。通常，浏览器就是一个用户代理。

• 它使用令牌而不是凭据来访问数据，并将数据存储在用户的在线文件系统中，例如 Google Docs 或 Dropbox 帐户。

OAuth 2.0 的优势

• OAuth 2.0 是一种非常灵活的协议，它依赖于 SSL（安全套接字层，确保 Web 服务器和浏览器之间的数据保持私密）来保存用户访问令牌。

• OAuth 2.0 依赖于 SSL，SSL 用于确保加密行业协议，并用于保护数据安全。

• 它允许有限地访问用户的数据，并在授权令牌过期时允许访问。

• 它能够在无需公开个人信息的情况下共享用户数据。

• 它更易于实现，并提供更强大的身份验证。

OAuth 2.0 的劣势

• 如果您在规范的末尾添加更多扩展，它将产生大量不互操作的实现，这意味着您必须为 Facebook、Google 等编写单独的代码。

• 如果您的常用站点连接到中央枢纽，并且中央帐户被黑客入侵，那么这将导致多个站点而不是单个站点受到严重影响。