OAuth 1.0的工作流

原文地址：OAuth 1.0 workflow
OAuth1.0 工作流
RFC5849版本的OAuth1.0（Open Authorization），是一个基于HTTP协议的授权协议。网站对OAuth1.0的支持可以让用户在不需要提供用户名和密码的前提下在不同的网站之间分享私人的资源。这些私人资源可以是任何资源，但通常来讲，指的是照片，视频和联系人列表。
一个用了OAuth的服务器通过提供给OAuth客户端一个“访问令牌”，这个OAuth客户端通过这个令牌就可以代表用户来访问用户在这个服务器上的资源，这个令牌拥有自己的作用域，生命周期和其它属性。

1. OAuth 客户端向OAuth服务器请求一个暂时认证（temporary credentials），然后通过这个暂时认证来开启授权的流程。OAuth客户端拥有暂时认证就代表客户端可以被OAuth服务器所识别，也才可以开户授权流程。
2. OAuth服务器接收到这个请求并返回一个暂时认证给这个请求的客户端。
3. OAuth客户端把资源拥有者（用户）重定向到授权网站，以期望得到受保护资源的访问权。
4. 用户在该网址上可以授予OAuth客户端访问该服务器上用户私人资源的权限，在这里，服务器获得的信息有客户端的暂时认证和用户的授权信息（用户需要输入密码，但是是在OAuth服务器的网址下输入，所以OAuth客户端是无法知道用户的用户名和密码的）。
5. OAuth服务器验证暂时认证和用户授权信息，通过后生成一个认证码。
6. 用户被服务器重定向到OAuth客户端提供的一个网址里面（这个网址在第3步那里由OAuth客户端提供给OAuth服务器）。
7. OAuth客户端通过所得到的暂时认证和认证码向OAuth服务器请求访问的令牌。
8. OAuth服务器接收这个请求并进行验证，通过后返回一个访问令牌给OAuth客户端，然后这个客户端就可以代表用户来访问受保护的用户资源了。