29--OAuth2.0协议详解

前言

截止到现在，一一哥 已经带各位把Spring Security中的主要功能学完了，并且剖析了这些内容的底层实现原理，希望你可以有所收获。

但是在安全认证领域，还有另一种很重要的授权机制---OAuth2.0开放授权。而且OAuth2.0开放授权与Spring Security经常配合使用，这两者之间可以说是“焦不离孟，孟不离焦”的搭配关系，所以为了进一步掌握Spring Security，在这里 壹哥 给大家再介绍另一个OAuth2.0开放授权协议。

OAuth2.0开放授权并不是Spring Security框架里的一部分，只是两者经常配合使用而已，所以我得先给大家普及一下OAuth2.0的内容，毕竟OAuth2.0的内容还是蛮难理解的。

一. OAuth2.0简介

1. OAuth2.0概述

咱们先来看看在RFC6749号文件中对OAuth2.0的定义，如下图所示：

简单来说，OAuth2.0 是一种授权机制，其内部引入了一个授权层，可以分离两种不同的角色：客户端和资源所有者。资源所有者同意客户端(第三方应用程序)的请求以后，资源服务器就可以向客户端颁发短期的进入令牌(token)，用来代替密码，客户端通过这个令牌，去请求有限的资源数据来使用。所以OAuth2.0 的核心就是向第三方应用颁发令牌。

2. OAuth2.0发展历程

**OAuth(Open Authorization)--开放授权，这是一种关于开放授权的协议标准。**所谓的OAuth2.0，表示这是OAuth协议第2版，但并不兼容之前的OAuth1.0协议，即现在已经完全废止了OAuth1.0协议。

那么为什么会废止OAuth1.0协议呢？我们先来简单说一下OAuth协议的发展历程。

2007年12月的时候，OAuth协议已经诞生了，并与2010年4月份，被IETF(国际互联网工程任务组)认可并作为认证授权的标准发布。但是这个OAuth1.0协议有些致命缺陷，就是它的签名逻辑特别复杂，开发时对程序员来说极度恶心。而且OAuth1.0的授权流程是很单一，存在较大的漏洞，容易被黑客攻击。所以在2012年10月的时候，IETF又更新发布了OAuth2.0协议，在这个版本中，放弃了之前复杂的数字签名和加密方案，使用HTTPS来作为安全保障手段，这降低了程序员的开发难度。但是OAuth2.0协议与OAuth1.0协议互不兼容，所以现在我们进行开发时，都是采用OAuth2.0协议，而不再采用OAuth1.0协议。