OAuth 2.0 什么?
OAuth 2.0的核心是授权许可,更进一步说就是令牌机制。也就是说,第三方软件只有拿到了开放平台颁发的访问令牌,也就是得到了授权许可,然后才可以代表用户访问他们的数据。
互联网中所有的受保护资源,几乎都是以Web API的形式来提供访问的,比如微信App要获取用户的头像、昵称,我们说OAuth 2.0与安全相关,是用来保护Web API的。另外,第三方软件通过OAuth 2.0取得访问权限之后,用户便把这些权限委托给了第三方软件,我们说OAuth 2.0是一种委托协议,也没问题。
第三方软件,每次都是用访问令牌而不是用户名和密码来请求用户的数据,才大大减少了安全风险上的“攻击面”。不然,我们试想一下,每次都带着用户名和密码来访问数量众多的Web API ,是不是增加了这个“攻击面”。因此,我们说OAuth 2.0的核心,就是颁发访问令牌和使用访问令牌。