什么是OAuth2

OAuth（开放授权）是一个开放标准，允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。

OAuth2是OAuth协议的延续版本，但不向后兼容OAuth1即完全废止了OAuth1。

综上：OAuth2 可以为Web应用、桌面应用、移动应用提供授权流程。

角色

Third-party application：第三方应用程序，本文中又称"客户端"（client）
HTTP service：HTTP服务提供商，本文中简称"服务提供商"
Resource Owner：资源所有者，本文中又称"用户"（user）。
User Agent：用户代理，本文中就是指浏览器。
Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。
Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

客户端注册

在应用OAuth2之前，必须在授权方服务中注册你的应用。如微信、QQ。

OAuth2实现平台中，一般都要求开发者提供如下所示的授权设置项：

应用名称
应用网站
重定向URI或回调URL

重定向URI是授权方服务在用户授权（或拒绝）应用程序之后重定向供用户访问的地址，因此也是用于处理授权码或访问令牌的应用程序的一部分。

一旦应用注册成功，授权方服务将以 client id 和 client secret 的形式为应用发布client credentials（客户端凭证）。client id是公开透明的字符串，授权方服务使用该字符串来标识应用程序，并且还用于构建呈现给用户的授权 url 。当应用请求访问用户的帐户时，client secret用于验证应用身份，并且必须在客户端和服务之间保持私有性。

运行流程

OAuth2在"客户端"与"服务提供商"之间，设置了一个授权层（authorization layer）。"客户端"不能直接登录"服务提供商"，只能登录授权层，以此将用户与客户端区分开来。"客户端"登录授权层后申请的令牌（token），与用户的密码不同。用户可以在登录的时候，指定授权层令牌的权限范围和有效期。

"客户端"登录授权层以后，"服务提供商"根据令牌的权限范围和有效期，向"客户端"开放用户储存的资料。

运行流程

用户打开客户端以后，客户端要求用户给予授权；
用户同意给予客户端授权；
客户端使用上一步获得的授权，向认证服务器申请令牌；
认证服务器对客户端进行认证以后，确认无误，同意发放令牌；
客户端使用令牌，向资源服务器申请获取资源；
资源服务器确认令牌无误，同意向客户端开放资源；

授权协议

授权许可类型取决于应用请求授权的方式和授权方服务支持的 Grant Type。OAuth 2 定义了四种 Grant Type，每一种都有适用的应用场景。

授权码模式（authorization code）
采用Authorization Code（授权码）获取Access Token的授权验证流程又被称为Web Server Flow，适用于所有有Server端的应用，如Web/Wap站点、有Server端__的手机/桌面客户端应用等。
简化模式（implicit）
采用Implicit Grant（隐式授权）方式获取Access Token的授权验证流程与OAuth 2.0标准的User-Agent Flow相同，适用于所有无Server端配合的应用（由于应用往往位于一个User Agent里，如浏览器里面，因此这类应用在某些平台下又被称为Client-Side Application），如手机/桌面客户端程序、浏览器插件等, 他们的一个共同特点是，应用无法妥善保管其应用密钥（App Secret Key），如果采取Authorization Code模式，则会存在泄漏其应用密钥的可能性。
密码模式（Password）
适用于受信任客户端应用，例如同个组织的内部或外部应用。
客户端模式（client credentials）
适用于客户端调用主服务API型应用（比如百度API Store）

授权码模式

授权码模式（authorization code）是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器，与"服务提供商"的认证服务器进行互动。