[简易图解]『 OAuth2.0』 猴子都能懂的图解

借你的博客又复习了一遍

@郝合心 谢谢支持哦。

:+1:

一个月左右就这么熟练啦，厉害

@dengminfeng 一二个月也不快啦。自己领悟能力很低的，论坛好多说 一读就懂的的文章我好多看了都觉得没太懂。。估计领悟能力太低！:joy:

真的很通俗易懂 :thumbsup:

写的不错，感谢分享！

:flushed: "可以的 给吧"，用户同意授权后应该是授权服务器通过第三方请求时的传递的回调 url 去主动调用第三方接口，然后把 code 给第三方。第三方再通过使用 code 来获取 access_token

@韩槑槑
谢谢您的阅读。
您说的这个授权模式是接下来我要图解的oAuth具体的授权模式，内容会更细致和具体。
上面只是粗略了讲述了什么是oAuth，至于具体的四种模式因为略难，对于新人来说刚开始理解概念就是轮廓性质的。
此篇文章不做赘述。

@chihokyo :joy: 就是感觉读到最后少了一步，"给我code" - "询问用户" - "同意授权" - "给他code" - "给我令牌"，就是少了个 "给我code"，就刚刚读到最后有点怪怪的没别的意思哈

@韩槑槑 嗯嗯，懂您的意思。
其实需要code的也就是授权码模式，其他的三种模式下都没有code这一步。
所以从统一的角度来说，是不需要加code的。

讲得很清晰明了，加油:+1:

are you a monkey? i'm monkey! :wink:

@lcyitar 我属猴的

我就喜欢这种猴子也能看懂的，很形象符合我的大脑构造。我也是属猴的

写的棒棒的哦，意思理解了

慕课网也有对 OAuth2.0 的讲解，当个参考 https://www.imooc.com/learn/557

24.1 资源服务器向认证服务器要access_token……貌似笔误？因为图画上面画的是第3方程序向认证服务器要access_token的……总之这组图画得很好懂！终于理解了访问令牌的存在意义了。感谢博主的分享！

@zhaiduting
谢谢您的提醒，已经修改好了。
多谢鼓励，愿图解有助于您的理解。

老哥。多发文章啊。关注你了。你这弄得简单易懂、很好、赞一个、

@echofree313 其实我是女生。。。谢谢鼓励。会继续有的。

PPT幻灯片链接挂啦，google doc

@两说 我这里显示的没有问题哦 您翻墙了吗？

@chihokyo 2333 梯子折了

想问一下，资源服务器是如何判断 access_token 有效的？

@chexj
您好，资源服务器内的验证您看下我发表的关于OAuth的第二篇进阶文章，这里只说了OAuth是什么，具体的授权模式，有四种，建议您看一下第一种授权码模式。估计就可以解答您的问题。

@chihokyo 谢谢

通俗易懂，超赞~~~

学到了。

灵魂流程图，不过真的简单易懂。

写的很好

大家好我是猴子我听懂了

@chihokyo 你是中国人吗？:snowflake:

@lcyitar 当然啊 - -

真的不错，继续加油

@王成涛 谢谢分享，正好周末看看

:laughing:

还好还好，看懂啦，还是比猴子强点！！！

去日本旅游能不能偷偷去打工啊？日本要外来的打工者吗？

6p

最后一张图是重点

@beatles 哈哈 修改了

通俗易懂，支持

有一点一直不太明白，用户怎么防止第三方伪造登录授权页获取用户的账号密码呢？
在网页浏览器中还好说，可以提示用户检查网页地址，如果在 app 中，用户是看不到地址的（如掘金 app 的 Github 登录）。其他的地方说到这点都是含糊的一带而过，有人能详细说说吗

我旁边有个猴子，它还真看不懂

@Kiddyu 你要知道Oauth2.0协议的授权码模式,第三方应用程序是拿不到用户账号密码的.
"客户端"不能直接登录"服务提供商"，只能登录授权层，以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌（token），与用户的密码不同。用户可以在登录的时候，指定授权层令牌的权限范围和有效期。

@Flourishing 第三方拿不到用户账号密码的前提是，用户是在服务提供商处登录并授权。
我的问题就是，第三方伪造了服务提供商的登录页面，而用户又怎么去验证，自己输入账号密码的页面是服务器提供商的，而不是第三方伪造的钓鱼页面。

@Kiddyu 所以你看见没有,市面上百分之九十以上的第三方应用都是采用授权码的模式,就是在培养用户进行授权的时候不用输入账号密码进行授权,常见的第三方登录QQ ,微信, 微博等,用户用快捷登录也无非是这几个.你可以尝试用在知乎里面查看微信,QQ,微博等服务商的授权页面都是用户在它们里面注册的头像以及昵称等信息展示的,这个你钓鱼网站怎么做到,授权页面拿到用户的在微信,QQ,微博等服务商的授权页面里面注册的头像以及昵称等信息展示的?
上面的这是其一.
其二,微信,QQ,微博等用户登录目前都是培养用户进行登录的时候使用声音,手机验证码,扫码等进行登录,这样就没有使用密码登录的说法.登录跳转到授权页面的时候,你在,微信,QQ,微博注册的用户信息例如头像,昵称等都展示在授权页面的.
以上总结的就是授权页面这步很关键,你说的隐患就是当用户本地的微信,QQ,微博等没有登录的情况下会尝试叫用户输入账号密码进行授权,但是对于这种第三方网站进行授权登录,用户在输入微信,QQ,微博等账号后,一定要有一个授权页面,并且这个页面至少要有用户在微信,QQ,微博上的图像以及昵称展示,要是少了这一步,正常用户都会觉得有问题,都会很谨慎.因为,输入账号密码,一般用户下意识还是有些警觉的.还有微信,QQ,微博也会自动登陆上并且也会提示你用它们的账号登录了某某应用.
还有一个细节就是,在做授权登录的时候,无论是安卓还是苹果,都会有一个明显的两个应用间来回跳转的应用间的切换交互流程.这个你根本不好模仿.

授权最关键的一步就是你在授权页展示了用户的微信,QQ,微博上的头像以及昵称,就是这两个才赢得了用户的信任

@Flourishing 看一下掘金 app 的 Github 登录你就明白我的意思了

谢谢你通俗易懂的文章，你写文章很有耐心呀。想请教一下你的这种耐心是什么训练出来的，你所在的工作和生活环境对你这种耐心的养成影响大吗？

666

给你上热门

@Kiddyu 因为第三方不可能伪造出服务提供商的登入页面的。你再仔细想一想那位回复你的朋友的话就知道了。

@cupid112 微信登录和qq登录这种肯定都没有问题。可能你们都没试过我说的例子，所以才不清楚我在说什么。

:+1:

真棒

老哥，你的博客放在哪家的服务器上？怎么这么慢？

14. 所以我们需要一个东西用来发行这个 access_token，这时候认证服务器 （Authorization server）登场了

这边的Authorization应该是「授权」的意思吧，「认证」应该是Authentication。

我也是看到第二篇[简易图解]『 OAuth2.0』 『进阶』 授权模式总结，才发现不太对劲。

感谢分享，这个倒是捋清楚了谁是干啥的。

画的真好！

写的很明白了