OAuth（開放授權(quán)）是一個開放標(biāo)準(zhǔn)，允許用戶讓第三方網(wǎng)站訪問該用戶在某一網(wǎng)站上存儲的私密的資源（如照片，視頻，聯(lián)系人列表），而無需將用戶名和密碼提供給第三方網(wǎng)站。

OAuth允許用戶提供一個令牌，而不是用戶名和密碼來訪問他們存放在特定服務(wù)提供者的數(shù)據(jù)。每一個令牌授權(quán)一個特定的網(wǎng)站（例如，視頻編輯網(wǎng)站)在特定的時段（例如，接下來的2小時內(nèi)）內(nèi)訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth允許用戶授權(quán)第三方網(wǎng)站訪問他們存儲在另外的服務(wù)提供者上的信息，而不需要分享他們的訪問許可或他們數(shù)據(jù)的所有內(nèi)容。

OAuth是OpenID的一個補充，但是完全不同的服務(wù)。

認(rèn)證和授權(quán)過程

在認(rèn)證和授權(quán)的過程中涉及的三方包括：

• 服務(wù)提供方，用戶使用服務(wù)提供方來存儲受保護(hù)的資源，如照片，視頻，聯(lián)系人列表。
• 用戶，存放在服務(wù)提供方的受保護(hù)的資源的擁有者。
• 客戶端，要訪問服務(wù)提供方資源的第三方應(yīng)用，通常是網(wǎng)站，如提供照片打印服務(wù)的網(wǎng)站。在認(rèn)證過程之前，客戶端要向服務(wù)提供者申請客戶端標(biāo)識。

使用OAuth進(jìn)行認(rèn)證和授權(quán)的過程如下所示:

1. 用戶訪問客戶端的網(wǎng)站，想操作用戶存放在服務(wù)提供方的資源。
2. 客戶端向服務(wù)提供方請求一個臨時令牌。
3. 服務(wù)提供方驗證客戶端的身份后，授予一個臨時令牌。
4. 客戶端獲得臨時令牌后，將用戶引導(dǎo)至服務(wù)提供方的授權(quán)頁面請求用戶授權(quán)。在這個過程中將臨時令牌和客戶端的回調(diào)連接發(fā)送給服務(wù)提供方。
5. 用戶在服務(wù)提供方的網(wǎng)頁上輸入用戶名和密碼，然后授權(quán)該客戶端訪問所請求的資源。
6. 授權(quán)成功后，服務(wù)提供方引導(dǎo)用戶返回客戶端的網(wǎng)頁。
7. 客戶端根據(jù)臨時令牌從服務(wù)提供方那里獲取訪問令牌。
8. 服務(wù)提供方根據(jù)臨時令牌和用戶的授權(quán)情況授予客戶端訪問令牌。
9. 客戶端使用獲取的訪問令牌訪問存放在服務(wù)提供方上的受保護(hù)的資源。

歷史

OAuth開始于2006年11月,當(dāng)時布萊恩·庫克（Blaine Cook）正在開發(fā)Twitter的OpenID實現(xiàn)。與此同時，Ma.gnolia需要一個解決方案允許使用OpenID的成員授權(quán)Dashboard訪問他們的服務(wù)。這樣庫克、克里斯·梅西納（Chris Messina）和來自Ma.gnolia的拉里·哈爾夫（Larry Halff）與戴維·雷科爾頓（David Recordon）會面討論在Twitter和Ma.gnolia API上使用OpenID進(jìn)行委托授權(quán)。 他們討論得出沒有開發(fā)標(biāo)準(zhǔn)完成API訪問的委托。

2007年4月，成立了OAuth討論組，這個由實現(xiàn)者組成的小組撰寫了一個開放協(xié)議的提議草案。來自Google的德維特·克林頓（DeWitt Clinton）獲悉OAuth項目后，表示他有興趣支持這個工作。2007年7月，團(tuán)隊起草了最初的規(guī)范。隨后，Eran Hammer-Lahav加入團(tuán)隊并協(xié)調(diào)了許多OAuth的稿件，創(chuàng)建了更為正式的規(guī)范。2007年10月3日, OAuth核心 1.0最后的草案發(fā)布了。

2008年11月，在明尼阿波利斯舉行的互聯(lián)網(wǎng)工程任務(wù)組第73次會議上， 舉行了OAuth的BoF^[1]討論將該協(xié)議納入IETF做進(jìn)一步的規(guī)范化工作。 這個會議參加的人很多，關(guān)于正式地授權(quán)在IETF設(shè)立一個OAuth工作組這一議題得到了廣泛的支持。

2010年4月，OAuth 1.0協(xié)議發(fā)表為RFC 5849，一個非正式RFC。

OAuth 2.0

OAuth 2.0是OAuth協(xié)議的下一版本，但不向后兼容OAuth 1.0。 OAuth 2.0關(guān)注客戶端開發(fā)者的簡易性，同時為Web應(yīng)用，桌面應(yīng)用和手機(jī)，和起居室設(shè)備提供專門的認(rèn)證流程。規(guī)范還在IETF OAuth工作組的開發(fā)中^[2] ，按照Eran Hammer-Lahav的說法，OAuth將于2010年末完成^[3]。

Facebook的新的Graph API只支持OAuth 2.0^[4]，Google在2011年3月亦宣布Google API對OAuth 2.0的支援^[5]。

安全

2009年4月23日，OAuth宣告了一個1.0協(xié)議的安全漏洞。該漏洞影響了OAuth 1.0核心規(guī)范第6節(jié)的OAuth的認(rèn)證流程（也稱作3階段OAuth） ^[6] 于是，發(fā)布了OAuth Core協(xié)議1.0a版本來解決這一問題。^[7]

參見

• OpenID
• DataPortability

參考文獻(xiàn)

外部鏈接

• OAuth.net
• OAuth WG at the IETF
• OAuth Code Library Support on Google Groups
• OAuth Beginner's Guide and Resource Center on Hueniverse
• Google OAuth & Federated Login Research
• Yahoo! OAuth Quick Start Guide
• OAuth安全忠告
• 基于 OAuth 安全協(xié)議的 Java 應(yīng)用編程
• OAuth Core規(guī)范的譯文