OAUTH协议简介

OAUTH协议背景

典型案例：如果一个用户拥有两项服务：一项服务是图片在线存储服务A，另一个是图片在线打印服务B。

如下图所示。

由于服务A与服务B是由两家不同的服务提供商提供的，所以用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的帐号再去服务A处下载待打印的图片，这种方式效率是提高了，但是安全性大大降低了，服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。

OAUTH协议介绍

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往授权方式的不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。oAuth是Open Authorization的简写。任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAUTH认证服务，因而OAUTH是开放的。

OAUTH认证授权具有以下特点：

(1)简单：不管是OAUTH服务提供者还是应用开发者，都很易于理解与使用；

(2)安全：没有涉及到用户密钥等信息，更安全更灵活；

(3)开放：任何服务提供商都可以实现OAUTH，任何软件开发商都可以使用OAUTH。

官方网址：http://oauth.net 。