我也想聊聊 OAuth 2.0 —— 基本概念

这是一篇待在草稿箱半年之久的文章

连我自己都不知道我的草稿箱有多少未发布的文章了。这应该是我在上一家公司未解散之前写的，记得当时是要做一个开发者中心，很不幸。
今天，打开草稿箱有种莫名的伤感，看到这个一系列关于 OAuth 的草稿（其实也就两篇而已），我决定重新发表出来。因为，我看到之前简单写的一个一行代码，发送邮件的小工具，放到Github上以后，好多大的企业在免费使用，如：某某新闻网、某某云服务和一家硬件公司，其实我非常高兴的，因为我一直在免费使用好多开源社区的福利。有机会做一点微薄的贡献，这个世界会更好。

第二篇：我也想聊聊 OAuth 2.0 —— Access Token

天反时为灾，地反物为妖

话说我也是今天看了霍金老师的《时间简史》后，我才知道霍金不姓「霍」，我在这里报以诚挚的歉意！对不起，霍老师，我不是人。
回到正题，最近公司的一个O2O项目，领导打算把用户数据共享给开发者，估计是疯了。当然，这也就涉及到开发者认证、API接口、Access Token、AppKey、OAuth这些你如果没接触过就会听的云里雾里的什么鬼。其实这些名词都包含在OAuth 2.0的概念中，从今天起，我要一步步掰开揉碎来理解它们，或许也能帮到你说不定。

什么是 OAuth 2.0？

为什么是2.0？肯定有1.0。
我打开了维基百科：OAuth（开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。看到这，也需你「哦」了一声，你是不是想起了QQ、微博等快捷登录、微信授权和TX的不要脸。OK，那接着看2.0。
OAuth 2.0是OAuth协议的下一版本，但不向下兼容OAuth 1.0。OAuth 2.0关注客户端开发者的简易性，同时为Web应用、桌面应用和手机，和起居室设备提供专门的认证流程。不就是升级版么，有什么了不起。对了，这就是 OAuth 2.0 。

为什么是 OAuth 2.0？

你今天刚刚发现了一个比较好玩的网站，它可以装逼，不是知乎，是逼乎。你是不是很好奇，点了进去，看到了这个「超目前主流扁平化设计的一种新型设计模式」的页面。
是不是特别想进去看看，我不会告诉你里边有奥巴马、乔布斯和思聪的。当你去点击微博或QQ图标的时候，会跳转一个授权页面，当你输入你的账户及密码后，就可以去静静的装逼了。当然，逼乎是不会知道你的微博或QQ密码的，这就用到了 OAuth 2.0 协议。

OAuth 2.0 协议有哪几种？

上面说到的「第三方快捷登录」只是 OAuth 2.0 协议的其中一种，其实它是有四种授权方式的，但无论如何客户端必须得到用户的授权（authorization grant），才能获得令牌（access token）。四种授权方式如下：

• 授权码模式（authorization code）
• 简化模式（implicit）
• 密码模式（resource owner password credentials）
• 客户端模式（client credentials）

我这就不一一赘述具体每个方式所适应的情况了，我下面几篇文章就针对我们打算开发的「开发者中心」来一行行写代码。
但请你记住：OAuth 就是一个开放授权协议！ OAuth 就是一个开放授权协议！！ OAuth 就是一个开放授权协议！！