Oauth2.0

oauth2.0漏洞问题产生原因 oauth2.0协议本身设计是安全的，但是不同的开放平台开发者能力参差不齐，在开发过程中没有严格按照协议进

访问令牌(Access Token) 访问令牌是用于访问受保护资源的凭据。一个访问令牌是代表颁发给授权的字符串的客户端。该字符串通常对客户端不透明。令牌代表特定的访问范围和持续时间，由资源所有者授予，

当客户端请求访问它所控制的，或者事先与授权服务器协商的其他资源所有者的受保护资源，客户端可以只使用它的客户端凭据（或者其他受

密码式授权适合于用户与客户端具有信任关系的情况。 这种模式适合于能将获取用户(用户名和密码，通常使用的交互形式)的客户端。通过转

隐藏式授权类型被用于获取访问令牌`access token`（它不支持发行刷新令牌`refresh token`），并对知道操作具体重定向`URI`的公共客户端进行优化。这些客户端通常在浏览器中使用

授权码模式用于获取访问令牌和刷新令牌，并针对客户端进行了优化。由于这是基于重定向的流程，因此客户端必须能够与资源所有者的用户代理（通常是 `Web` 浏览器）交互

OAuth2.0的标准是RFC 6794 文件。该文件对OAuth有详细的解释。 有哪些角色、流程、授权模式和令牌。

OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息（如用户名与密码），就可以获取用户资源授权，因此是安全的。