OAuth协议

介绍

OAUTH 协议旨在为用户资源的授权访问提供一个安全，开放的标准。平台商通过OAUTH协议，提示用户对第三方软件厂商（ISV)进进行授权。 使得第三方软件厂商能够使用平台商的部分数据，对用户提供服务。与以往的授权形式不同，OAUTH协议并不需要触及用户的账户信息和密码，变可以完成第三方对用户信息访问的授权。

用户通过平台商对第三方应用进行授权，而第三方应用得到授权后，便可以对一定时间内，通过平台商提供接口，访问到用户授权的信息，为用户提供服务。

image.png

授权过程

授权过程

1.用户先对ISV的应用进行访问，发起请求。 2.ISV接到用户请求后，再向平台请求request token，并带上其申请的appId 3.平台将返回给第三方应用request token。 4.ISV应用将用户引导到平台的授权页面，并带上自己的appId，request token和回调地址。 5.用户在平台的页面上进行登录，并且完成授权（这样便不会将用户的用户名和密码赤裸裸地暴露给第三方）。 6.平台通过ISV提供的回调链接，返回给应用access token。 7.ISV应用通过access token 取到用户授权的数据，进行加工后返回给用户，授权数据访问完成。 在进行协议授权和数据加密的时候，因为包含的都是敏感度较高的内容，为了确保通信安全，一般都会包含如前文所述的认证过程，如摘要认证，签名认证，https等。