OAuth 2.0协议

为什么出现OAuth2.0？

• oauth1.0对手机客户端，移动设备等非server第三方的支持不好。其实oauth1.0也是可以支持手机客户端等移动设备的，也有相应的流程。但是oauth1.0是将多种流程合并成了一种。而事实证明，这种合并的流程体验性非常差。

• oauth1.0的加密需求过于复杂，第三方开发者使用oauth1.0之前需要花费精力先实现oauth1.0的加密算法

• oauth1.0的拓展性不够好

• oauth1.0生成的access_token要求是永久有效的，这导致的问题是网站的安全性降低了。

因此出现了oauth2.0。oauth2.0针对oauth1.0的各种问题提供了解决方法：

• oauth2.0提出了多种流程，各个客户端按照实际情况选择不同的流程来获取access_token。这样就解决了对移动设备等第三方的支持，也解决了拓展性的问题。

• oauth2.0删除了繁琐的加密算法。处用https传输对认证的安全性进行保证

• oauth2.0的认证流程一般只有2步（oauth1.0有三步），对开发者来说，减轻了负担。

• oauth2.0提出了access_token的更新方案，获取access_token的同时也获取refresh_token。access_token是有过期时间的，refresh_token的过期时间较长，这样能随时使用refresh_token对access_token进行更新。

理解OAuth 2.0:

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

OAuth2.0中文译本：

http://wenku.baidu.com/link?url=1iKGF-v7t8I7LNu996h2FVTantrC-wFO-C-ILKFaaYTyqhL-b1h-ykRnTKGKexRFLYt2KKljT_mlZ0UfLFMSq-iiLqbByfW6NQri6FjrFQ3

OAuth的改变：

http://huoding.com/2011/11/08/126

OAuth2.0与shiro的集成示例：

http://jinnianshilongnian.iteye.com/blog/2038646