简易图解OAuth2.0

本文转自https://learnku.com/articles/87108#5263ba
## 写在前面的
这两天在看论坛的 L03API 教程上面的 oAuth，对于 oAuth 这个概念，一直还很模糊，找了很多国内的一些东西看的，当然还有论坛推荐的阮一峰的说明，但是总是感觉有种理不清楚的感觉。
加之国内很多教程对于非计算机专业的人理解不友好。
恰好在日本网站上看到了一些说明特别容易理解。就按照他们的思路自己写了这一段图。
顺便说下，没别的意思，对于 IT 一些术语的解释，国内还是偏向于专业化了，甚至很多也只是翻译国外的文章，没有自己的理解，还有可能是我。。看的太少了吧。也有可能是我的实力不够。
国外有很多感觉真的是写给猴子看的，还有面向儿童的一些书，很适合我这种刚开始接触某个概念的人来看。

> 废话不多说了，上图了。这是根据 PPT 做出来的简图。
如果想一次性看完的，可以去下面这里直接看。
新手理解，不吝赐教。
PPT 幻灯片

------------
> 为了不引起歧义补充说明一下，这篇只是很概括的说明了一下什么是 OAuth。
真正的授权肯定不是这么简单，到具体的 OAuth 授权模式上会更加复杂，看完这篇可以看看这篇我总结的授权模式，授权模式总结，比这个稍微没这么好懂一点，但我非计算机专业的我都能懂的话，应该认真看问题不大。本篇文章就不做赘述啦。

# 二、步骤图
### 1. 我们这里有一份用户的数据
![](https://ysian.cn/image/20240627/1bdc45554b7e487944eadff880ccbac7.png)
### 2.用户的数据我们保存在资源服务器 (Resource server) 里
![](https://ysian.cn/image/20240627/d758bd4fd497ce0626eec80ff79853aa.png)
### 3. 这时候有个 第三方应用程序（Third-party application）想要请求资源服务器要用户数据
![](https://ysian.cn/image/20240627/4d30ec1ac9d61799b310c982e64937f3.png)
### 4. 为了让用户数据和第三方程序程序良好的交互，资源服务器准备了一个 API 接口
![](https://ysian.cn/image/20240627/e4f845cbaa33c5541f05fabad6f9f139.png)
### 5. 第三方应用程序向资源服务器请求用户的数据
![](https://ysian.cn/image/20240627/f1dc8bbb78573c497c64318fa226eb89.png)
### 6. 资源服务器表示好的给你了
![](https://ysian.cn/image/20240627/19eca709677526d68f46d2e567c4648b.png)
### 7. 但如果这个第三方应用程序是恶意的第三方呢？那么就会有以下的场景出现
![](https://ysian.cn/image/20240627/5e6e2db58017a22b31166e96501d18ea.png)
### 8. 所以我们需要一个机制来保护 API 接口，不能随随便便毫无安全可言的把用户的数据送出去
![](https://ysian.cn/image/20240627/4a056fce82ecd94955cf2c1dcae73997.png)
### 9. 这个最佳实践就事先在第三方程序里保存一个令牌 access_token
![](https://ysian.cn/image/20240627/54c28bcf3e629f64dea5fb0b4a5dbb3f.png)
### 10. 第三方应用程序在向资源服务器请求用户数据的时候会出示这个 access_token
![](https://ysian.cn/image/20240627/f959264a5c0f834974e6551ba0c33720.png)
### 11. 然后资源服务器取出授权码并且验证是否有授权
![](https://ysian.cn/image/20240627/6b6664557dc6b2ec42fda0497f65acd3.png)
### 12. 授权通过，资源服务器才会把用户数据传递给第三方应用程序
![](https://ysian.cn/image/20240627/586b2e228e96c6a665b1b7c44315bf49.png)
### 13. 但这种方案需要事先给第三方 access_token
![](https://ysian.cn/image/20240627/c38aad362c7712559197c12cddaf840f.png)
### 14. 所以我们需要一个东西用来发行这个 access_token，这时候认证服务器 （Authorization server）登场了
![](https://ysian.cn/image/20240627/41b2ade0d59a2940b0ce4642a713a3e7.png)
### 15. 认证服务器负责生成并且发行 access_token 给第三方应用程序
![](https://ysian.cn/image/20240627/3fa0bdc50871f48ddb87ba4624676b09.png)
### 16. 接下来我们看一下目前的登场的人物有
- 第三方应用程序
- 资源服务器
- 认证服务器
- access_token
- 用户数据

> 资源服务器和认证服务器有时候是同一台服务器

![](https://ysian.cn/image/20240627/2debeb91dfafb2933e29f4dc651b312e.png)
### 17. 接下来我们来走一下流程 认证服务器生成 access_token
![](https://ysian.cn/image/20240627/d6fce39fa1e669d83db0191de701bff8.png)
### 18. 认证服务器发行 access_token 授权给第三方应用程序
![](https://ysian.cn/image/20240627/9373481e94af909a403884953dcabf08.png)
### 19. 第三方应用程序拿着 access_token 去找资源服务器要用户数据
![](https://ysian.cn/image/20240627/015f2bc6bfb54e01dc6374beeb7d08a8.png)
### 20. 资源服务器取出来 access_token 并验证
![](https://ysian.cn/image/20240627/ab72bd11a98d84d6cb93cc46604908f3.png)
### 21. 验证通过 用户数据送出
![](https://ysian.cn/image/20240627/21e2d5330166f61ab5c2a0d873e2f8a8.png)
### 22. 问题点来了
> 到上面为止有个很大的问题就是，认证服务器生成 access_token 竟然没人管！那岂不是随便发行了，这不行，于是我们的用户 （Resource Owner：资源所有者）出现了！

![](https://ysian.cn/image/20240627/abe9250605f1a796120e585b5957f14d.png)

### 23. 解决
> 认证服务器在发行 access_token 之前要先通过用户的同意

### 24. 于是接下来就是

1. 第三方应用程序向认证服务器要 access_token
![](https://ysian.cn/image/20240627/ab32d6b44d80cb74e1b7b98a670e00aa.png)
2. 认证服务器生成之前先问问用户能不能授权啊
![](https://ysian.cn/image/20240627/76e4b1afef1cbf4ae43f15e0ea5afd5e.png)
3. 用户说好的可以给
![](https://ysian.cn/image/20240627/b9e1f7b190a8ee162b727928eaf575c0.png)
4. 认证服务器生成 access_token 并且发行给第三方应用程序
![](https://ysian.cn/image/20240627/84b0f3970634b82a9814c7947251dfe3.png)
### 25. oAuth2.0
> 第三方应用程序和这个认证服务器之间围绕着 access_token 进行请求和响应的等等就是 oAuth2.0
![](https://ysian.cn/image/20240627/6b02d7aad1d662bdee11fa1a80fe9f60.png)