前言
常看到OAuth, 但不知道自己在工作上是否曾經用過, 這次基於好奇心找了一下OAuth相關的資訊, 才整理了這篇文章
RFC 6749 The OAuth 2.0 Authorization Framework
https://datatracker.ietf.org/doc/html/rfc6749
最基本的資源請求
最原始的取得Resource的方式就是向Server提供Account/Password, 然後Server進行驗證成功後才會將Resource返回給User
委託第三方進行資源的請求
- Resource Owner的風險
- Resource Server必須儲存Resource Owner 的帳號密碼
- 第三方程式必須儲存 Resource Owner 的帳號密碼
- 第三方程式會得到幾乎完整的權限,可以存取 Protected Resources
- Resource Owner 無法限制第三方程式的存取時效以及可存取範圍
- Resource Owner 無法撤回第三方程式的存取權,必須要改密碼才行
- 任何第三方程式被破解,就會導致使用該密碼的所有資料被破解
使用OAuth的方式進行資源的請求
Authorization Grant (授權許可)
Grant Type
…待補充
Access Token
…待補充