开放授权

OAuth（开放授权）是一种广泛采用的授权框架，用于在不暴露敏感凭据的情况下，使应用程序之间能够安全地进行委派访问。

定义

OAuth，即开放授权，是一种开放标准协议，允许用户向第三方应用程序授予对另一项服务上受保护资源的有限访问权限，而无需共享其登录凭据。它通过颁发作用域访问令牌来运作，这些令牌定义了请求的应用程序代表用户可以执行的数据和操作。虽然常与“通过X登录”流程相关联，但其核心目的是授权而非认证。OAuth 2.0是最常见的版本，定义了多种授权类型，以支持网页、移动设备和机器对机器的访问场景，从而在现代应用程序中实现安全的API交互和委派资源访问。不同生态系统中的实现方式各不相同，但其核心原则始终是通过作用域和令牌进行访问，而无需暴露凭据。

优点

• 通过避免直接与第三方应用共享用户凭据来增强安全性。
• 通过作用域实现细粒度的访问控制，仅授予所需权限。
• 在网页、移动设备和API生态系统中得到广泛支持。
• 标准化的令牌模型简化了与外部服务的集成。
• 通过为多个服务提供单一授权流程减少用户操作摩擦。

缺点

• 由于存在多种流程和可选规范，正确实现可能较为复杂。
• OAuth本身不验证用户身份。
• 必须仔细处理令牌管理和生命周期，以避免安全问题。
• 不同提供商的实现差异可能导致互操作性挑战。
• 配置错误可能导致访问令牌泄露或授予过多权限。

使用场景

• 允许第三方应用访问用户的个人资料数据而无需其密码。
• 安全地在不同平台之间集成日历或联系人等服务。
• 通过客户端凭据实现服务器间通信的API访问。
• 通过委派授权支持社交登录选项（例如“通过Google登录”）。
• 授权物联网设备或原生应用代表用户访问云资源。