OAUTH协议简介

daqiang430

<span class="Apple-style-span" style="font-size: large;"><b>一、产生的背景&nbsp;</b></span><div><span class="Apple-style-span" style="font-size: large;"><b>&nbsp;&nbsp;</b></span><div><span style="FONT-SIZE: small">&nbsp;&nbsp; 典型案例：如果一个用户拥有两项服务：一项服务是图片在线存储服务A，另一个是图片在线打印服务B。如下图所示。由于服务A与服务B是由两家不同的服务提供商提供的，所以用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的帐号再去服务A处下载待打印的图片，这种方式效率是提高了，但是安全性大大降低了，服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。</span><div><span style="FONT-SIZE: small"><a href="http://blog.chinaunix.net/attachment/201101/14/17140522_1294992863ZQK9.jpg" target="_blank"><img src="http://blog.chinaunix.net/attachment/201101/14/17140522_1294992863ZQK9.jpg" .load="imgResize(this, 650);" border="0" ;=""></a></span></div><div><br></div><div><p><span class="Apple-style-span" style="font-size: large; "><b>二、授权流程：</b></span></p><p><span class="Apple-style-span" style="font-size: large; "><b><a href="http://blog.chinaunix.net/attachment/201101/14/17140522_1294994742ifk7.jpg" target="_blank"><img src="http://blog.chinaunix.net/attachment/201101/14/17140522_1294994742ifk7.jpg" .load="imgResize(this, 650);" border="0" ;=""></a></b></span></p><p><span style="FONT-SIZE: small">具体每步执行信息如下：</span> </p>
<p><span style="FONT-SIZE: small">A. 使用者（第三方软件）向OAUTH服务提供商请求未授权的Request
Token。向Request Token URL发起请求，请求需要带上的参数见上图。</span> </p>
<p><span style="FONT-SIZE: small">B.
OAUTH服务提供商同意使用者的请求，并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret，并返回给使用者。</span>
</p>
<p><span style="FONT-SIZE: small">C. 使用者向OAUTH服务提供商请求用户授权的Request Token。向User
Authorization URL发起请求，请求带上上步拿到的未授权的token与其密钥。</span> </p>
<p><span style="FONT-SIZE: small">D.
OAUTH服务提供商将引导用户授权。该过程可能会提示用户，你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request
Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。</span> </p>
<p><span style="FONT-SIZE: small">E. Request Token 授权后，使用者将向Access Token
URL发起请求，将上步授权的Request Token换取成Access Token。请求的参数见上图，这个比第一步A多了一个参数就是Request
Token。</span> </p>
<p><span style="FONT-SIZE: small">F. OAUTH服务提供商同意使用者的请求，并向其颁发Access
Token与对应的密钥，并返回给使用者。</span> </p>
<p><span style="FONT-SIZE: small">G. 使用者以后就可以使用上步返回的Access
Token访问用户授权的资源。</span></p></div><div><br></div><div><br></div></div></div>