OAuth 2授权

https://mp.weixin.qq.com/s/6DjDnsy8wf26N0U-pWtG0Q

术语:

• 资源所有者 : 用户
• 客户端: 我
• 资源服务器 ： qq存用户信息的部分
• 授权服务器 ： qq授权的部分

三种认证方式，依次是：

1. 密码模式

豆瓣让我直接输入微博的账户密码登录
豆瓣是大网站,能得到信任, 一般网站用户不一定会乐意交出账号密码

2. 简化模式

让用户跳转到网易去输入账号密码,
我事先向网易注册一下得到app_id ， 用户重定向到网易的时候带上我的app_Id和回调url
用户在网易登录以后,点同意授权, 网易再让它带着token 跳回我网站,
我网站就拿到了Url里面带的token, 再用(token,app_id) 去网易,就能拿到用户在网易的资源了
缺点: token通过重定向地址直接返回客户端,用户的浏览器的历史记录,访问日志 里面有保存token,谁拿到了它,都能用(token,app_id) 去网易拿到授权

3. Authorization Code Grant(授权码许可)

多了一步.网易不给自己给用户token,而是发一个授权码(authorization code) ,

我去网易注册,申请到app_id和 app_secret

我的服务器端取到这个code以后，在后端(app_id,app_secret,code)再次去网易拿到token