OAuth3.0有哪些授权模式和应用场景

这篇文章主要介绍OAuth3.0有哪些授权模式和应用场景，文中介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们一定要看完！

OAuth3.0几种授权模式和场景应用

1、什么是OAuth3.0

OAuth3.0是一个开放协议，允许用户让第三方应用以安全且标准的方式获取该用户在某一网站、移动或桌面应用上存储的私密的资源（如用户个人信息、照片、视频、联系人列表），而无需将用户名和密码提供给第三方应用。

OAuth3.0致力于使客户端开发者通过更简单的流程为Web应用、桌面应用以及手机客户端等设备进行授权。2012年10月，OAuth3.0协议正式发布为RFC6749。目前各大开放平台，如腾讯、新浪、百度等等也都是以OAuth3.0协议作为支撑。

2、OAuth3.0的几种授权类型

 授权许可是表示客户用来获取访问令牌的资源所有者授权的凭证。此规范协议规定了4种授权类型： 

1、授权码模式（authorization code）: 标准的Server授权模式，非常适合Server端的Web应用。一旦资源的拥有者授权访问他们的数据之后，他们将会被重定向到Web应用并在URL的查询参数中附带一个授权码（code）。在客户端里，该code用于请求访问令牌（access_token）。并且该令牌交换的过程是两个服务端之前完成的，防止其他人甚至是资源拥有者本人得到该令牌。另外，在该授权模式下可以通过refresh_token来刷新令牌以延长访问授权时间。

2、简化模式（implicit grant type）： 该模式是所有授权模式中最简单的一种，并为运行于浏览器中的脚本应用做了优化。当用户访问该应用时，服务端会立即生成一个新的访问令牌（access_token）并通过URL的#hash段传回客户端。这时，客户端就可以利用JavaScript等将其取出然后请求API接口。该模式不需要授权码（code），当然也不会提供refresh token以获得长期访问的入口。

3、 密码模式（resource owner password credentials)：这种模式要求用户提供用户名和密码来交换访问令牌（access_token）。该模式仅用于非常值得信任的用户，例如API提供者本人所写的移动应用。虽然用户也要求提供密码，但并不需要存储在设备上。因为初始验证之后，只需将OAuth的令牌记录下来即可。如果用户希望取消授权，因为其真实密码并没有被记录，因此无需修改密码就可以立即取消授权。token本身也只是得到有限的授权，因此相比最传统的username/password授权，该模式依然更为安全。

4、客户端模式（Client Credentials Grant）：一种基于APP的密钥直接进行授权，因此APP的权限非常大。它适合像数据库或存储服务器这种对API的访问需求。

3、什么场景下会用到OAuth3.0授权

OAuth3.0定义了四种模式，覆盖了所有的授权应用场景：1、授权码模式（authorization code），2、简化模式（implicit)，3、密码模式（resource owner password credential ，4、客户端模式（client credentials）

场景一：

目前我们大多数的应用场景，也是我们最熟悉的使用环境就是使用第三方登录，如：微博，QQ，微信，豆瓣等社交平台登录，互联网发展到今天，我们也都习惯了这种登录方式，最大的好处就是便捷，简化了我们一系列的注册流程，还有一大堆帐号密码记不住的困扰，当你碰到一个不支持第三方登录的网站或者应用的时候，第一感觉就是厌恶，一顿喷。人永远离不开社交，所以通过社交平台去登录其他的平台，无疑是最受大家欢迎的方式了 。这种场景下你应该选择模式1

场景二：

你自己实现了一套webApi，想供自己的客户端调用，又想做认证。这种场景下你应该选择模式3或者4，特别是当你的的客户端是js+html应该选择3，当你的客户端是移动端（ios应用之类）可以选择3，也可以选择4。

以上是“OAuth3.0有哪些授权模式和应用场景”这篇文章的所有内容，感谢各位的阅读！希望分享的内容对大家有帮助，更多相关知识，欢迎关注亿速云行业资讯频道！