OAuth2.0记录

阮一峰老师讲解OAuth2.0

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

举例详解：

https://www.cnblogs.com/flashsun/p/7424071.html

验证码模式为什么要先获取一次code：

　　在服务器获得用户授权后通过 302 跳转到你的 callback URI 上，并在 url query 上带上用于交换 accesd token 的 code ，这个code将会暴露在url上，存在被盗取的可能。所以在 url 上直接返回 access token 是不安全的，而client拿到code以后换取access token是client后台对认证服务器的访问，并且需要clientID和client secret，不依赖浏览器，access token不会暴露出去。

 

　　OAuth中的Resource Owner Password Credentials Grant模式与openid有着相似之处，不同的地方在与Oauth的密码模式是在当前使用的网站中输入用户名与密码，该网站再使用这些信息去Authorization server去获取access token，OpenID是在Authorization server中去输入用户名和密码来获取用户信息以及access token