OAUTH認證授權的流程進行初步認識。其實,簡單的來說,OAUTH認證授權就三個步驟,三句話可以概括:
1. 獲取未授權的Request Token
2. 獲取用戶授權的Request Token
3. 用授權的Request Token換取Access Token
當應用拿到Access Token后,就可以有權訪問用戶授權的資源了。這三個步驟對應OAUTH的三個URL服務地址嘛。上面的三個步驟中,每個步驟分別請求一個URL,並且收到相關信息,並且拿到上步的相關信息去請求接下來的URL直到拿到Access Token。
具體每步執行信息如下:
A. 使用者(第三方軟件)向OAUTH服務提供商請求未授權的Request Token。向Request Token URL發起請求。
B. OAUTH服務提供商同意使用者的請求,並向其頒發未經用戶授權的oauth_token與對應的oauth_token_secret,並返回給使用者。
C. 使用者向OAUTH服務提供商請求用戶授權的Request Token。向User Authorization URL發起請求,請求帶上上步拿到的未授權的token與其密鑰。
D. OAUTH服務提供商將引導用戶授權。該過程可能會提示用戶,你想將哪些受保護的資源授權給該應用。此步可能會返回授權的Request Token也可能不返回。
E. Request Token 授權后,使用者將向Access Token URL發起請求,將上步授權的Request Token換取成Access Token。
F. OAUTH服務提供商同意使用者的請求,並向其頒發Access Token與對應的密鑰,並返回給使用者。
G. 使用者以后就可以使用上步返回的Access Token訪問用戶授權的資源。
從上面的步驟可以看出,用戶始終沒有將其用戶名與密碼等信息提供給使用者(第三方軟件),從而更安全。