为什么需要 OAuth2？

应用场景

我们假设有一个“云笔记”产品，并提供了“云笔记服务”和“云相册服务”，此时用户需要在不同的设备 （Android、iPhone、TV、Watch）上去访问这些“资源”（笔记、图片）

那么用户如何才能访问属于自己的那部分资源呢？此时传统的做法就是提供自己的账号和密码给我们的“云笔记”，登录成功后就可以获取资源了。但是这样做法会有以下几个问题：

• “云笔记服务”和“云相册服务”会分别部署，难道我们要分别登录吗？
• 如何让第三方应用程序需要接入我们的“云笔记”，难道需要用户提供账号和密码给第三方应用程序，让它记录后再访问我们的资源？
• 用户如何限制第三方应用程序在我们“云笔记”的授权范围和使用期限？难道把所有资源都永久暴露给它吗？
• 如果用户修改了密码收回了权限，那么所有第三方应用程序会全部失效。
• 只要有个一个接入的第三方应用程序遭到破解，那么用户的密码就会泄漏，后果....

为了解决上面的问题， OAuth应运而生。

名词解释

• Third-party application：第三方应用程序，本文中又称 "client" ，比如打开知乎，使用第三方登录，选择qq登录，这时候知乎就是客户端。
• HTTP service：HTTP服务提供商，本文中简称 "服务提供商" ，即上例的qq。
• Resource Owner：资源所有者，本文中又称"用户"（user）,即登录用户。
• User Agent：用户代理，本文中就是指浏览器。
• Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。
• Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器

交互过程

OAuth 在“客户端”与“服务提供商”之间，设置一个授权层（Authorization layer）。“客户端”不能直接登录“服务提供商”，只能登录授权层，以此将用户与客户端区分开来。“客户端” 登录授权层所用的令牌（token），与用户的密不同。用户可以在登录的时候，指定授权层令牌的权限范围和有效期。“客户端”登录授权层以后，“服务提供商” 根据令牌的权限范围和有效期，想“客户端” 开发用户存储的资源。