OAuth 2.0 是一個開放標準,允許user授權第三方應用存取該user的私有資料,而無需提供帳密資料給第三方應用。
例如Facebook的graph API就是使用OAuth 2.0,例如我開發了一個網站,提供了user使用FB登入的功能,我的網站必須轉址到FB提供的Authorization Server,讓user輸入他的FB帳密,接著詢問user是否同意授權,user同意後,我的網站就能拿到access token,有了這個東西,我就可以存取user的FB資料了。有發現了嗎? 我的網站(第三方網站)並不知道user的FB帳密,但是卻可以存取他的FB資料,這就是OAuth存在的意義。使用token跟使用帳密存取,乍看之下都可以達到目的,但其實是有差異的:
1. token是有時效性的,到期會自動失效。
2. user有權可以隨時取消這個token。
3. token是有scope限制的,視user同意的scope而定,例如只能存取塗鴉牆的po文資料,不能存取相簿資料。
本筆記參考:
1. http://www.ruanyifeng.com/blog/2019/04/oauth_design.html
2. https://deepzz.com/post/what-is-oauth2-protocol.html