OAUTH 产生背景
随着互联网的深入发展,一些互联网巨头积累了海量的用户和数据。对于平台级软件厂商来说,用户的需求多种多样,变化万千
以一己之力予以充分满足,难免疲于本命。因此将数据以接口的形式开放的众多的第三方开发者,便成了必然的趋势。第三方
开发者经过二次开发,满足一小部分用户的独特需求,即能够是自己获取利益,也能够让数据流动起来,在大平台周围形成一个
良性的生态环境能够,最终达到用户,平台商,第三方开发者共赢,在这样的背景下就诞生了OAUTH协议。
OAUTH介绍
OAUTH 协议旨在为用户资源的授权访问提供一个安全,开放的标准。平台商通过OAUTH协议,提示用户对第三方软件厂商(ISV)进进行授权。
使得第三方软件厂商能够使用平台商的部分数据,对用户提供服务。与以往的授权形式不同,OAUTH协议并不需要触及用户的账户信息和
密码,变可以完成第三方对用户信息访问的授权。
用户通过平台商对第三方应用进行授权,而第三方应用得到授权后,便可以对一定时间内,通过平台商提供接口,访问到用户授权的信息,
为用户提供服务。
OAUTH授权过程
协议的核心思想是将资源做权限分级和隔离,ISV引导用户在平台端登录,完成授权。获得授权后ISV可以在一定时间段内,访问用户的私有
数据,用户完全可以把控这一过程,且授权可以取消。
要活的OAUTH协议授权:
1需要第三方开发者向平台商申请应用ID,即APPID,对自己的APP进行注册。
2.一次OAUTH授权包括三个角色:
1.普通用户
2.第三方应用(ISV)
3.平台商。
3. 授权过程如下:
1.用户先对ISV的应用进行访问,发起请求。
2.ISV接收到用户请求后,再向平台商请求REQUEST TOKEN,并带上其申请的APPID.
3.平台将返回给ISV应用 REQUEST TOKEN.
4.ISV应用将用户引导到平台授权页面,并带上自己的APPID,REQUEST TOKEN和回调地址。
5.用户在平台页面上进行登录,并且完成授权。(这样就不会将用户名,密码暴露给第三方)。
6.平台通过ISV提供的回调链接,返回给ISV应用ACCESS TOKEN。
7.ISV 应用通过 ACCESS TOKEN 取到用户授权数据,进行加工后返回给用户,授权数据访问完成。