文章链接 http://www.rfcreader.com/#rfc6749

摘要

OAuth 2.0认证框架能够使第三方应用来进行一定限制的http服务访问，亦或者以通过编排资源所有者和Http服务之间的交互许可来作为服务所有者的代表，或允许第三方应用本身访问服务本身代表，但是这一特性已在OAuth 1.0协议中废弃。

事例状态

这是一个标准的Internet跟踪文档

这个文档是IETF（Internet Engineering Task Force）的产品，它展示了IEFT社区的一致意见，它也受到了广泛的review,并且被IESG所出版，、。

介绍

在传统的客户端-服务端认证模式中，通过使用服务端提供的凭证来访问服务端受限的资源，为了提供第三方应用来访问受限资源，服务端提供自身的凭证给第三应用，这样将产生几点问题和缺陷。

1、第三方系统要提供服务的凭证来为以后进行使用，通常如平文本中的密码

2、服务端需要密码支持，尽管以密码的方式固有的薄弱

3、第三方应用获得过多广泛的服务端受保护的访问资源，使得服务者本身在访问期间访问受限或者访问服务的一些集合受限

4、服务端不能撤销非法的第三方应用，这些第三方应用没有撤销访问的能力，如果一定要撤销些访问的话只有改变第三方应用的密码。