OAuth就是一种授权机制。数据的所有者告诉系统，同意授权第三方应用进入系统，获取这些数据。系统从而产生一个短期的、一定权限的令牌（token），用来代替密码，供第三方应用使用。

流程

1.第三方客户端要求用户给与授权
2.用户同意给与授权
3.根据授权,向需要访问的资源服务器申请token
4.资源服务器校验用户授权，没问题发放token
5.第三方客户端拿着token访问资源

token获取方式

A请求用户授权，获取到token来访问B的数据。获取token的方式包括以下几种：

• 授权码
• 隐藏式
• 密码式
• 客户端凭证

1.授权码

第三方应用先申请一个授权码，然后再用该码获取令牌。这个是目前大多数应用采用的方式。

适用于有后端的 Web 应用。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。

第一步，A 网站提供一个链接，用户点击后就会跳转到 B 网站，授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。

 https://b.com/oauth/authorize? response_type=code& client_id=CLIENT_ID& redirect_uri=CALLBACK_URL& scope=read 

response_type参数表示要求返回授权码（code），client_id参数让 B 知道是谁在请求，redirect_uri参数是 B 接受或拒绝请求后的跳转网址，scope参数表示要求的授权范围（这里是只读）。

第二步，用户跳转后，B 网站会要求用户登录，然后询问是否同意给予 A 网站授权。用户表示同意，这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时，会传回一个授权码，就像下面这样。

 https://a.com/callback? code=AUTHORIZATION_CODE 

code参数就是授权码

第三步，A 网站拿到授权码以后，就可以在后端，向 B 网站请求令牌。

 https://b.com/oauth/token? client_id=CLIENT_ID& client_secret=CLIENT_SECRET& grant_type=authorization_code& code=AUTHORIZATION_CODE& redirect_uri=CALLBACK_URL 

client_id参数和client_secret参数用来让 B 确认 A 的身份（client_secret参数是保密的，因此只能在后端发请求），grant_type参数的值是AUTHORIZATION_CODE，表示采用的授权方式是授权码，code参数是上一步拿到的授权码，redirect_uri参数是令牌颁发后的回调网址

第四步，B 网站收到请求以后，就会颁发令牌。具体做法是向redirect_uri指定的网址，发送一段 JSON 数据。

 {"access_token":"ACCESS_TOKEN","token_type":"bearer","expires_in":2592000,"refresh_token":"REFRESH_TOKEN","scope":"read","uid":100101,"info":{...}} 

上面 JSON 数据中，access_token字段就是令牌，A 网站在后端拿到了

2.隐藏式

省略授权码，直接向前端颁发令牌。

纯前端应用，没有后端。令牌储存在前端。

3.密码式

应用直接使用用户名和密码，申请令牌

4.客户端凭证

通过命令行发送请求，校验通过后，返回令牌。

针对第三方应用的，而不是针对用户的，即有可能多个用户共享同一个令牌。

token使用

拿到token后，每次请求API，请求头中加Authorization字段

token更新

在获取到token时一般有两个，其中一个refresh token用于更新token

https://b.com/oauth/token?
 grant_type=refresh_token&
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 refresh_token=REFRESH_TOKEN