共计 582 个字符,预计需要花费 2 分钟才能阅读完成。
注:浏览之前忘掉受权码、token 那一套,只了解这个模型
参考起源
注释
OAuth2.0 提供了一种客户端获取资源的受权模型,这一模型解决了客户端在获取别人资源时不用要求 资源持有者 提供明确的身份验证信息,而把这个工作交给了一个可信赖的 受权者 ,这个授权人对 资源的持有人 是可信赖的,对 资源的托管方 也是可信赖的。
因而,OAuth2.0 标准定义了四种角色:
- 首先,客户端 的用意很明确,向 资源服务器 获取资源;
- 这个时候 客户端 须要出示一个凭证——令牌;
- 令牌由 受权服务器 颁发,资源服务器 在拿到令牌之后本人想方法验证令牌的合法性;
- 因而,客户端 的上一步就须要想方法去 受权服务器 拿到 指标资源 的令牌
- 受权服务器 保留了 资源所有者 的身份信息,因而,客户端 须要获得 资源所有者 的批准,从而向 受权服务器 拿到受权的凭证,这一步由 客户端 疏导 资源所有者 与受权服务器 进行身份校验,促使 受权服务器 给客户端 一个受权凭证(这个受权的凭证意味着资源所有者认可客户端的合法性,阐明客户端有获取令牌的资格);
- 客户端 在获得这个资格之后,能够释怀地向 受权服务器 申请资源凭证——令牌;
- 在拿到令牌之后,客户端 能够释怀地去 资源服务器 申请 资源所有者 指定的资源
这么做有个前提:资源持有者认可以后客户端。这个就要靠持有人本人负责验证客户端的合法性了。
这么做的益处就是:令牌的解释权在受权服务或资源服务器,资源持有人能够随时告诉两者,使令牌生效。
正文完