一、写在前面

日常生活中，我们经常看到到一个网站时，需要登录的时候，都提供了第三方的登录，也就是说你可以使用你的微信，QQ,微博等账号进行授权登录。那么这个认证登录的东西到底是什么呢？

微信授权登录页面

或者说你实现这样的授权登录，该怎么做呢？我觉得思路： 首先是登录的网站时，去在第三方登录后，第三方回调登录网站的接口，然后网站这边拿到第三方的已经登录状态，就可以在网站本身登录了。就相当于微博微信就是你的登录用户名和密码的校验。

二、OAuth授权登录

解决上面的问题，就能用到OAUTH协议。

1）【是什么】：

各网站对OAuth版本支持情况

2）【使用场景】

由于服务A与服务B是由两家不同的服务提供商提供的，所以用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的帐号再去服务A处下载待打印的图片，这种方式效率是提高了，但是安全性大大降低了，服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。

==用OAUTH实现背景一节中的典型案例：当服务B（打印服务）要访问用户的服务A（图片服务）时，通过OAUTH机制，服务B向服务A请求未经用户授权的Request Token后，服务A将引导用户在服务A的网站上登录，并询问用户是否将图片服务授权给服务B。用户同意后，服务B就可以访问用户在服务A上的图片服务。整个过程服务B没有触及到用户在服务A的帐号信息。

3）【认证步骤】

OAuth1认证基本步骤：

获取未授权的Request Token(temporary credentials)

请求用户授权Request Token

使用授权后的Request Token换取Access Token(token credentials)

使用 Access Token 访问或修改受保护资源

OAuth1.0流程

==【OAuth 2.0 】

　　 OAuth2.0和OAuth1.0的区别还是在于简化了认证过程，不需要从未授权的Request Token转化到授权Request Token，而是利用app key通过用户授权生成access token但是，与1.0的不同之处是access token有自身的有效期，且不同平台、不同级别的程序有着不同的有效期，在程序开发中一定记得判断access token是否过期，对于过期之后的处理方法主要是利用access token和refresh token重新生成access token或者重新利用app key向服务器发送请求生成access token。由于这个问题，与OAuth1.0基本一致不一样，各个平台OAuth2.0做了不一样的选择。

　　OAuth2.0服务支持以下获取Access Token的方式：

　　a. Authorization Code：Web Server Flow，适用于所有有Server端配合的应用。

　　b. Implicit Grant：User-Agent Flow，适用于所有无Server端配合的应用。

　　因为demo是无服务器的程式，所以我们采用Implicit Grant：User-Agent Flow的获取方式。

OAuth2.0步骤

4）【国内主要OAuth授权平台】

授权流程图

==【微信】：目前，微信的第三方授权登录是由微信开放平台来承载的。根据其最新的文档，用户通过微信授权登录同时用户授权了获取userinfo时，则授权成功后会出现unionid字段，即微信开放平台会同时返回用户的openid和unionid（移动应用微信登录开发指南）。开发者只需要将openid和unionid都保存到数据库即可。

==【QQ】：QQ授权登录平台要想保存unionid可能要稍微麻烦一点。需要联系QQ客服申请获取unionid的全限。详见常见问题 - 文档资料--QQ互联的问题1。按照其要求发送邮件申请unionid的访问权限即可。正常情况下QQ客服会很快开通权限并回复开发者的申请邮件，并在邮件中比较详细的说明调用接口获取unionid的方式。

微博的授权页面

==【 新浪微博】：新浪比较好，新浪微博的移动App和网页版的唯一标识都是统一的uid，无需做额外的操作。

三、写在最后

OAuth协议很有用处，有机会还是自己使用下，这样才能加深理解和记忆。

原文地址：https://www.cnblogs.com/zytrue/p/8646290.html