简介
1.简介(1. Introduction)
在传统的客户端-服务器身份验证模式中,客户端请求服务器上访问受限的资源(受保护的资源)时,需要使用资源所有者的凭据在服务器上进行身份验证。 资源所有者为了给第三方应用提供受限资源的访问权限,需...
1.1. 角色(1.1. Roles)
OAuth定义了四种角色: 资源所有者 能够许可对受保护资源的访问权限的实体。当资源所有者是个人时,它被称为最终用户。 资源服务器 托管受保护资源的服务器,能够接收和响应使...
1.2. 协议流程(1.2. Protocol Flow)
1.2. 协议流程 +--------+ +---------------+ | |--(A)- Autho...
1.3. 授权许可 (1.3. Authorization Grant)
1.3. 授权许可 授权许可是一个代表资源所有者授权(访问受保护资源)的凭据,客户端用它来获取访问令牌。本规范定义了四种许可类型——授权码、隐式许可、资源所有者密码凭据和客户端凭据——以及用于...
1.3.1. 授权码 (1.3.1. Authorization Code)
1.3.1. 授权码 授权码通过使用授权服务器做为客户端与资源所有者的中介而获得。客户端不是直接从资源所有者请求授权,而是引导资源所有者至授权服务器(由在RFC2616中定义的用户代理),授权...
1.3.2. 隐式许可(1.3.2. Implicit)
1.3.2. 隐式许可 隐式许可是为用如JavaScript等脚本语言在浏览器中实现的客户端而优化的一种简化的授权码流程。在隐式许可流程中,不再给客户端颁发授权码,取而代之的是客户端直接被颁发...
1.3.3. 资源所有者密码凭据 (1.3.3. Resource Owner Password Credentials)
资源所有者密码凭据(即用户名和密码),可以直接作为获取访问令牌的授权许可。这种凭据只能应该当资源所有者和客户端之间具有高度信任时(例如,客户端是设备的操作系统的一部分,或者是一个高度特权应用程序...
1.3.4. 客户端凭据(1.3.4. Client Credentials)
当授权范围,限于客户端控制下的受保护资源或事先与 授权服务器商定的受保护资源时,客户端凭据,可以被用作为一种授权许可。典型的场景,当客户端代表自己的(功能角色acting)(时(acting o...
1.4. 访问令牌 (1.4. Access Token)
1.4. 访问令牌 访问令牌是用于访问受保护资源的凭据。访问令牌是一个代表向客户端颁发的授权的字符串。该字符串通常对于客户端是不透明的。令牌代表了访问权限的由资源所有者许可并由资源服务器和授权...
1.5. 刷新令牌 (1.5. Refresh Token)
1.5. 刷新令牌 刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时,获取一个新的访问令牌,或者获得相等或更窄范围的额外的访问令牌(访问令牌可...
1.6. TLS版本(1.6. TLS Version)
1.6. TLS版本 本规范任何时候使用传输层安全性(TLS),基于广泛的部署和已知的安全漏洞TLS的相应版本(或多个版本)将会随时间而变化。在本规范撰写时,TLS 1.2版RFC5246是最...
1.7. HTTP重定向(1.7. HTTP Redirections)
1.7. HTTP重定向 本规范广泛采用了HTTP重定向,有此客户端或授权服务器引导资源所有者的用户代理到另一个目的地址。虽然本规范中的例子演示了HTTP 302状态码的使用,但是任何其他通过...
1.8. 互操作性(1.8. Interoperability)
1.8. 互操作性 OAuth 2.0提供了丰富的具有明确的安全性质的授权框架。然而,尽管在其自身看来是一个带有许多可选择组件的丰富且高度可扩展的框架,本规范有可能产生许多非可互操作的实现。 ...
1.9. 符号约定
1.9. 符号约定 本规范中的关键词“必须”、“不能”、“必需的”、“要”、“不要”、“应该”、“不应该”、“推荐的”、“可以”以及“可选的”按RFC2119所述解释。 本规范使用RFC523...