OAuth2.0

OAuth 2.0 是一种授权机制，主要用来颁发令牌（token）

OAuth 2.0 的标准是 RFC 6749 文件:

OAuth 引入了一个授权层，用来分离两种不同的角色：客户端和资源所有者。......资源所有者同意以后，资源服务器可以向客户端颁发令牌。客户端通过令牌，去请求数据。

OAuth 的核心就是向第三方应用颁发令牌（由于互联网有多种场景，）本标准定义了获得令牌的四种授权方式（authorization grant ）。

OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种，向第三方应用颁发令牌

1. 授权码（authorization-code）
2. 隐藏式（implicit）
3. 密码式（password）：
4. 客户端凭证（client credentials）

注意，不管哪一种授权方式，第三方应用申请令牌之前，都必须先到系统备案，说明自己的身份，然后会拿到两个身份识别码：客户端 ID（client ID）和客户端密钥（client secret）。这是为了防止令牌被滥用，没有备案过的第三方应用，是不会拿到令牌的。

授权码（authorization-code）

授权码（authorization code）方式，指的是第三方应用先申请一个授权码，然后再用该码获取令牌。

参考：http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html (opens new window)