OAuth

 

【取得Access_Token的过程】

1. Consumer 向 Provider 请求一个Request_Token （Provider 可以在memcache中保存这个用UUID生成的Request_Token，加上一个小时的过期时间）

2. 带着Requst_Token用户进入Provider提供的帐号、密码输入界面，用户通过密码较验并同意给这个Request_Token授权后，生成一个Access_Token，这时Provider的Request_Token可以废掉了，在数据库中保存这个Access_Token，因为它可是很长时间或永久性的

3. Consumer使用Access_Token就可以访问用户资源了，Consumer可以把Access_Token保存在数据库中以备后用

 

* Consumer向Provider发出的所有请求中必须提供Consumer Key（Consumer ID）参数，且这个所用参数需要用Consumer Secret进行算哈希较验值，以保证这个请求是Consumer发出的，Consumer Key（Consumer ID）不会被盗用

* 请求中的nonce参数每次都需要不同，也就是说Provider接收到每一个请求都需要是不同的，否则会被拒绝。（可以杜绝重放攻击）