OAuth3.0有哪些授權模式和應用場景

這篇文章主要介紹OAuth3.0有哪些授權模式和應用場景，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

OAuth3.0幾種授權模式和場景應用

1、什么是OAuth3.0

OAuth3.0是一個開放協議，允許用戶讓第三方應用以安全且標準的方式獲取該用戶在某一網站、移動或桌面應用上存儲的私密的資源（如用戶個人信息、照片、視頻、聯系人列表），而無需將用戶名和密碼提供給第三方應用。

OAuth3.0致力于使客戶端開發者通過更簡單的流程為Web應用、桌面應用以及手機客戶端等設備進行授權。2012年10月，OAuth3.0協議正式發布為RFC6749。目前各大開放平臺，如騰訊、新浪、百度等等也都是以OAuth3.0協議作為支撐。

2、OAuth3.0的幾種授權類型

 授權許可是表示客戶用來獲取訪問令牌的資源所有者授權的憑證。此規范協議規定了4種授權類型： 

1、授權碼模式（authorization code）: 標準的Server授權模式，非常適合Server端的Web應用。一旦資源的擁有者授權訪問他們的數據之后，他們將會被重定向到Web應用并在URL的查詢參數中附帶一個授權碼（code）。在客戶端里，該code用于請求訪問令牌（access_token）。并且該令牌交換的過程是兩個服務端之前完成的，防止其他人甚至是資源擁有者本人得到該令牌。另外，在該授權模式下可以通過refresh_token來刷新令牌以延長訪問授權時間。

2、簡化模式（implicit grant type）： 該模式是所有授權模式中最簡單的一種，并為運行于瀏覽器中的腳本應用做了優化。當用戶訪問該應用時，服務端會立即生成一個新的訪問令牌（access_token）并通過URL的#hash段傳回客戶端。這時，客戶端就可以利用JavaScript等將其取出然后請求API接口。該模式不需要授權碼（code），當然也不會提供refresh token以獲得長期訪問的入口。

3、 密碼模式（resource owner password credentials)：這種模式要求用戶提供用戶名和密碼來交換訪問令牌（access_token）。該模式僅用于非常值得信任的用戶，例如API提供者本人所寫的移動應用。雖然用戶也要求提供密碼，但并不需要存儲在設備上。因為初始驗證之后，只需將OAuth的令牌記錄下來即可。如果用戶希望取消授權，因為其真實密碼并沒有被記錄，因此無需修改密碼就可以立即取消授權。token本身也只是得到有限的授權，因此相比最傳統的username/password授權，該模式依然更為安全。

4、客戶端模式（Client Credentials Grant）：一種基于APP的密鑰直接進行授權，因此APP的權限非常大。它適合像數據庫或存儲服務器這種對API的訪問需求。

3、什么場景下會用到OAuth3.0授權

OAuth3.0定義了四種模式，覆蓋了所有的授權應用場景：1、授權碼模式（authorization code），2、簡化模式（implicit)，3、密碼模式（resource owner password credential ，4、客戶端模式（client credentials）

場景一：

目前我們大多數的應用場景，也是我們最熟悉的使用環境就是使用第三方登錄，如：微博，QQ，微信，豆瓣等社交平臺登錄，互聯網發展到今天，我們也都習慣了這種登錄方式，最大的好處就是便捷，簡化了我們一系列的注冊流程，還有一大堆帳號密碼記不住的困擾，當你碰到一個不支持第三方登錄的網站或者應用的時候，第一感覺就是厭惡，一頓噴。人永遠離不開社交，所以通過社交平臺去登錄其他的平臺，無疑是最受大家歡迎的方式了 。這種場景下你應該選擇模式1

場景二：

你自己實現了一套webApi，想供自己的客戶端調用，又想做認證。這種場景下你應該選擇模式3或者4，特別是當你的的客戶端是js+html應該選擇3，當你的客戶端是移動端（ios應用之類）可以選擇3，也可以選擇4。

以上是“OAuth3.0有哪些授權模式和應用場景”這篇文章的所有內容，感謝各位的閱讀！希望分享的內容對大家有幫助，更多相關知識，歡迎關注億速云行業資訊頻道！