一、什么是Oauth2.0

什么是Oauth?官方答案如下：

An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.

Oauth 2.0是目前Oauth的最新版本。

OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows for web applications, desktop applications, mobile phones, and living room devices. 

以上内容来自：https://oauth.net/2/

百度百科解释如下：

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。oAuth是Open Authorization的简写。

阮一峰的解释：

简单说，OAuth 就是一种授权机制。数据的所有者告诉系统，同意授权第三方应用进入系统，获取这些数据。系统从而产生一个短期的进入令牌（token），用来代替密码，供第三方应用使用。

来自：http://www.ruanyifeng.com/blog/2019/04/oauth_design.html

二、Oauth2.0授权方式

RFC 6749 文件（OAuth 2.0 的标准）写到：OAuth 引入了一个授权层，用来分离两种不同的角色：客户端和资源所有者。......资源所有者同意以后，资源服务器可以向客户端颁发令牌。客户端通过令牌，去请求数据。（由于互联网有多种场景，）本标准定义了获得令牌的四种授权方式（authorization grant ）。

OAuth 2.0的运行流程如下图，摘自RFC 6749。

OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种，向第三方应用颁发令牌。

下面就是这四种授权方式。

授权码（authorization-code）

隐藏式（implicit）

密码式（password）

客户端凭证（client credentials）

不管哪一种授权方式，第三方应用申请令牌之前，都必须先到系统备案，说明自己的身份，然后会拿到两个身份识别码：客户端 ID（client ID）和客户端密钥（client secret）。这是为了防止令牌被滥用，没有备案过的第三方应用，是不会拿到令牌的。

在互联网场景中，最流行是授权码模式，也是最安全的授权方式。授权码模式（authorization code）是功能最完整、流程最严密的授权模式。

三、授权码模式流程

另一个示意图：

1. 请求授权码。

客户端通过使用“application/x-www-form- urlencoding”格式向授权端点URI的查询组件添加以下参数来构造请求URI

response_type：必须的。值必须是"code"。

client_id：必须的。客户端标识符。

redirect_uri：可选的。

scope：可选的。请求访问的范围。

state：推荐的。一个不透明的值用于维护请求和回调之间的状态。授权服务器在将用户代理重定向会客户端的时候会带上该参数。

例如：

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1

Host: server.example.com

2.返回授权码

如果资源所有者授权访问请求，授权服务器发出授权代码并通过使用“application/x-www-form- urlencoding”格式向重定向URI的查询组件添加以下参数，将其给客户端。

code：必须的。授权服务器生成的授权码。授权代码必须在发布后不久过期，以减少泄漏的风险。建议最大授权代码生命期为10分钟。客户端不得多次使用授权代码。如果授权代码不止一次使用，授权服务器必须拒绝请求，并在可能的情况下撤销先前基于该授权代码发布的所有令牌。授权代码是绑定到客户端标识符和重定向URI上的。

state：如果之前客户端授权请求中带的有"state"参数，则响应的时候也会带上该参数。

例如：

HTTP/1.1 302 Found

　　Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

3.请求令牌

客户端通过使用“application/ www-form-urlencoding”格式发送以下参数向令牌端点发出请求

grant_type：必须的。值必须是"authorization_code"。

code：必须的。值是从授权服务器那里接收的授权码。

redirect_uri：如果在授权请求的时候包含"redirect_uri"参数，那么这里也需要包含"redirect_uri"参数。而且，这两处的"redirect_uri"必须完全相同。

client_id：如果客户端不需要认证，那么必须带的该参数。

例如：

POST /token HTTP/1.1

　　Host: server.example.com

　　Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

　　Content-Type: application/x-www-form-urlencoded

　　grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

4.返回令牌

Access Token Response

例如：

　　HTTP/1.1 200 OK

　　Content-Type: application/json;charset=UTF-8

　　Cache-Control: no-store

　　Pragma: no-cache

　　{

　　　　"access_token":"2YotnFZFEjr1zCsicMWpAA",

　　　　"token_type":"example",

　　　　"expires_in":3600,

　　　　"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",

　　　　"example_parameter":"example_value"

　　}

四、令牌的使用

A 网站拿到令牌以后，就可以向 B 网站的 API 请求数据了。

此时，每个发到 API 的请求，都必须带有令牌。具体做法是在请求的头信息，加上一个Authorization字段，令牌就放在这个字段里面。

刷新令牌

令牌的有效期到了，如果让用户重新走一遍上面的流程，再申请一个新的令牌，很可能体验不好，而且也没有必要。OAuth 2.0 允许用户自动更新令牌。

具体方法是，B 网站颁发令牌的时候，一次性颁发两个令牌，一个用于获取数据，另一个用于获取新的令牌（refresh token 字段）。令牌到期前，用户使用 refresh token 发一个请求，去更新令牌。如：

https://b.com/oauth/token?

  grant_type=refresh_token&

  client_id=CLIENT_ID&

  client_secret=CLIENT_SECRET&

  refresh_token=REFRESH_TOKEN