OAuth 2.0 是一個開放標準，允許user授權第三方應用存取該user的私有資料，而無需提供帳密資料給第三方應用。

觀點

職場產業

創作

<div class="draft-block draft--p left">OAuth 2.0 是一個開放標準，允許user授權第三方應用存取該user的私有資料，而無需提供帳密資料給第三方應用。</div>
<div class="draft-block draft--p left">例如Facebook的graph API就是使用OAuth 2.0，例如我開發了一個網站，提供了user使用FB登入的功能，我的網站必須轉址到FB提供的Authorization Server，讓user輸入他的FB帳密，接著詢問user是否同意授權，user同意後，我的網站就能拿到access token，有了這個東西，我就可以存取user的FB資料了。</div>
<div class="draft-block draft--p left">有發現了嗎? 我的網站(第三方網站)並不知道user的FB帳密，但是卻可以存取他的FB資料，這就是OAuth存在的意義。</div>
<div class="draft-block draft--p left">使用token跟使用帳密存取，乍看之下都可以達到目的，但其實是有差異的:<br>1.  token是有時效性的，到期會自動失效。 <br>2.  user有權可以隨時取消這個token。<br>3.  token是有scope限制的，視user同意的scope而定，例如只能存取塗鴉牆的po文資料，不能存取相簿資料。</div>
<div class="draft-block draft--p left"></div>
<div class="draft-block draft--p left"><span style="font-style: italic; ">本筆記參考:<br>1. </span><a href="http://www.ruanyifeng.com/blog/2019/04/oauth_design.html" target="_blank" class="draft--a"><span style="font-style: italic; ">http://www.ruanyifeng.com/blog/2019/04/oauth_design.html</span></a><span style="font-style: italic; "><br>2. </span><a href="https://deepzz.com/post/what-is-oauth2-protocol.html" target="_blank" class="draft--a"><span style="font-style: italic; ">https://deepzz.com/post/what-is-oauth2-protocol.html</span></a></div>

<p>OAuth 2.0 是一個開放標準，允許user授權第三方應用存取該user的私有資料，而無需提供帳密資料給第三方應用。</p>
<p>例如Facebook的graph API就是使用OAuth 2.0，例如我開發了一個網站，提供了user使用FB登入的功能，我的網站必須轉址到FB提供的Authorization Server，讓user輸入他的FB帳密，接著詢問user是否同意授權，user同意後，我的網站就能拿到access token，有了這個東西，我就可以存取user的FB資料了。</p>
<p>有發現了嗎? 我的網站(第三方網站)並不知道user的FB帳密，但是卻可以存取他的FB資料，這就是OAuth存在的意義。</p>
<p>使用token跟使用帳密存取，乍看之下都可以達到目的，但其實是有差異的:<br>
1. &nbsp;token是有時效性的，到期會自動失效。 <br>
2. &nbsp;user有權可以隨時取消這個token。<br>
3. &nbsp;token是有scope限制的，視user同意的scope而定，例如只能存取塗鴉牆的po文資料，不能存取相簿資料。</p>
<p><br></p>
<p><em>本筆記參考:<br>
1. </em><a href="http://www.ruanyifeng.com/blog/2019/04/oauth_design.html"><em>http://www.ruanyifeng.com/blog/2019/04/oauth_design.html</em></a><em><br>
2. </em><a href="https://deepzz.com/post/what-is-oauth2-protocol.html"><em>https://deepzz.com/post/what-is-oauth2-protocol.html</em></a></p>

例如Facebook的graph API就是使用OAuth 2.0，例如我開發了一個網站，提供了user使用FB登入的功能，我的網站必須轉址到FB提供的Authorization Server，讓user輸入他的FB帳密，接著詢問user是否同意授權，user同意後，我的網站就能拿到access token，有了這個東西，我就可以存取user的FB資料了。

有發現了嗎? 我的網站(第三方網站)並不知道user的FB帳密，但是卻可以存取他的FB資料，這就是OAuth存在的意義。

使用token跟使用帳密存取，乍看之下都可以達到目的，但其實是有差異的:
1.  token是有時效性的，到期會自動失效。 
2.  user有權可以隨時取消這個token。
3.  token是有scope限制的，視user同意的scope而定，例如只能存取塗鴉牆的po文資料，不能存取相簿資料。

本筆記參考:
1. http://www.ruanyifeng.com/blog/2019/04/oauth_design.html
2. https://deepzz.com/post/what-is-oauth2-protocol.html

OAuth 2.0 是什麼?