写在前面

源码 。

本文看下OAuth2.0的另外3中授权流程，资源拥有者凭据许可，客户端许可，隐式许可。分别看下具体的使用流程以及该使用场景。

1：资源拥有者凭据许可

资源拥有者凭据许可，这里资源拥有者的凭据是什么呢？自然就是用户名密码了，也就是使用用户名密码来获取访问令牌，这种授权方式流程如下：

适用的场景是官方出品的亲儿子应用，本来就是一家人，自然是可以使用用户名密码来授权的。另外需要注意grant_type需要设置为password。

Map<String, String> params = new HashMap<String, String>();
params.put("grant_type","password");
params.put("app_id","APPIDTEST");
params.put("app_secret","APPSECRETTEST");
params.put("name","NAMETEST");
params.put("password","PASSWORDTEST");

String accessToken = HttpURLClient.doPost(oauthURl,HttpURLClient.mapToStr(params));

访问地址http://localhost:8899/otherThree/testOtherThreee，测试：

录入用户名密码：

接着就能获取到token了：

2：客户端许可

客户端许可，是客户端自己直接使用授权服务颁发的app_id和app_sercet来获取令牌，流程如下：

适用的场景是获取不属于用户的信息，比如天气信息，微信的logo，微信当前最新的版本号等。另外需要注意grant_type需要设置为client_credentials。

Map<String, String> params = new HashMap<String, String>();
params.put("grant_type","client_credentials");
params.put("app_id","APPIDTEST");
params.put("app_secret","APPSECRETTEST");

String accessToken = HttpURLClient.doPost(oauthURl,HttpURLClient.mapToStr(params));

访问地址http://localhost:8899/otherThree/testOtherThreee，测试：

成功获取令牌：

3：隐式许可

隐式许可，直接使用appid来获取令牌，流程如下：

适用的场景是没有server的内嵌在浏览器中的应用。另外需要注意将grant_type设置为token:

Map<String, String> params = new HashMap<String, String>();
params.put("response_type","token");//告诉授权服务直接返回access_token
params.put("redirect_uri","http://localhost:8080/AppServlet-ch02");
params.put("app_id","APPIDTEST");

String toOauthUrl = URLParamsUtil.appendParams(oauthUrl,params);//构造请求授权的URl

response.sendRedirect(toOauthUrl);

访问地址http://localhost:8899/otherThree/testOtherThreee，测试：

直接获取到令牌：

写在后面

参考文章列表

多知道一点

4种许可类型对比

本质上都是换取令牌access_token，只不过不同的授权类型换取令牌时需要提供的内容不同。