概述

什么是OAuth 2.0？

OAuth是一种开放式授权协议，允许通过在Facebook，GitHub等HTTP服务上启用客户端应用程序来访问资源所有者的资源。它允许将存储在一个站点上的资源共享到另一个站点，而无需使用其凭据。 它使用用户名和密码令牌代替。

OAuth 2.0由IETF OAuth Working Group ，于2012年10月发布。

为什么要使用OAuth 2.0？

• 您可以使用OAuth 2.0从其他应用程序读取用户的数据。

• 它为Web，桌面应用程序和移动设备提供授权工作流程。

• 它是一个服务器端Web应用程序，它使用授权代码，不与用户凭据交互。

OAuth 2.0的功能

• OAuth 2.0是一种简单的协议，允许访问用户的资源而无需共享密码。

• 它使用脚本语言（如JavaScript）为运行客户端应用程序提供用户代理流。 通常，浏览器是用户代理。

• 它使用令牌访问数据，而不是使用其凭据，并将数据存储在用户的在线文件系统中，例如Google Docs或Dropbox帐户。

OAuth 2.0的优点

• OAuth 2.0是一种非常灵活的协议，它依赖于SSL（确保Web服务器和浏览器之间的数据保持私有的安全套接字层）来保存用户访问令牌。

• OAuth 2.0依赖于SSL，SSL用于确保加密行业协议并用于保证数据安全。

• 它允许对用户数据的有限访问，并允许在授权令牌到期时进行访问。

• 它具有为用户共享数据的能力，而无需发布个人信息。

• 它更容易实现并提供更强大的身份验证。

OAuth 2.0的缺点

• 如果要在规范的末尾添加更多扩展，它将产生各种不可互操作的实现，这意味着您必须为Facebook，Google等编写单独的代码片段。

• 如果您最喜欢的网站连接到中央集线器并且中央帐户被黑客攻击，那么它将导致跨多个网站而不仅仅是一个网站产生严重影响。