文章鏈接 http://www.rfcreader.com/#rfc6749
摘要
OAuth 2.0認(rèn)證框架能夠使第三方應(yīng)用來進(jìn)行一定限制的http服務(wù)訪問秽誊,亦或者以通過編排資源所有者和Http服務(wù)之間的交互許可來作為服務(wù)所有者的代表洋魂,或允許第三方應(yīng)用本身訪問服務(wù)本身代表,但是這一特性已在OAuth 1.0協(xié)議中廢棄条霜。
事例狀態(tài)
這是一個(gè)標(biāo)準(zhǔn)的Internet跟蹤文檔
這個(gè)文檔是IETF(Internet Engineering Task Force)的產(chǎn)品滞造,它展示了IEFT社區(qū)的一致意見,它也受到了廣泛的review,并且被IESG所出版,磨确、。
介紹
在傳統(tǒng)的客戶端-服務(wù)端認(rèn)證模式中声邦,通過使用服務(wù)端提供的憑證來訪問服務(wù)端受限的資源乏奥,為了提供第三方應(yīng)用來訪問受限資源,服務(wù)端提供自身的憑證給第三應(yīng)用亥曹,這樣將產(chǎn)生幾點(diǎn)問題和缺陷邓了。
1、第三方系統(tǒng)要提供服務(wù)的憑證來為以后進(jìn)行使用媳瞪,通常如平文本中的密碼
2骗炉、服務(wù)端需要密碼支持,盡管以密碼的方式固有的薄弱
3蛇受、第三方應(yīng)用獲得過多廣泛的服務(wù)端受保護(hù)的訪問資源句葵,使得服務(wù)者本身在訪問期間訪問受限或者訪問服務(wù)的一些集合受限
4、服務(wù)端不能撤銷非法的第三方應(yīng)用兢仰,這些第三方應(yīng)用沒有撤銷訪問的能力乍丈,如果一定要撤銷些訪問的話只有改變第三方應(yīng)用的密碼。