個人對OAUTH1.0簡單理解

1. 我畫了一個簡單的圖來了解一下OAUTH1.0請求的交互過程，附圖如下：
   
   簡單解釋一下：OAuth2.0是基于http實現(xiàn)，為了交互的安全性設(shè)計上看起來會稍微復雜，OAuth2.0獲得的access_token有效期時間比較長，有安全隱患。具體可以參考一下文章：第三方登錄access token過期問題和ACCESS_TOKEN與FRESH_TOKEN
2. 解釋一下應用場景是參與者：
   • 客戶端：訪問你應用網(wǎng)站的用戶和瀏覽器
   • 服務端：你的應用功能服務器
   • 授權(quán)端：用戶賬戶等資源所在的服務器
     用戶想通過可信的授權(quán)端賬戶登錄并且使用你的服務器功能，但是為了安全起見又不想直接通過授權(quán)服務器的賬號密碼去登錄你的服務，此時就要用到OAuth授權(quán)認證服務來實現(xiàn)。
3. OAuth2.0模擬過程：
   • WEB注冊會獲得appkey和secret
   • CLIENT請求WEB
   • WEB請求request_token（API：/oauth/request_token）（請求臨時的request_token）
   • SERVER生產(chǎn)request_token和request_secret存儲并返回
   • WEB申請SERVER授權(quán)（API：/oauth/authorize）(請求用戶授權(quán)的token)
   • SERVER重定向CLIENT去SERVER認證授權(quán)頁面
   • CLIENT認證授權(quán)到SERVER
   • SERVER生成將oauth_verifier后將request_token和用戶ID，應用ID，驗證碼oauth_verifier進行映射，并存儲之后重定向到WEB
   • WEB通過前面獲取的oauth_verifier以及secret，request_secret等來請求access_token（獲得獲取資源的token，oauth_verifier是1.0a版本修復1.0存在的會話固化×××的漏洞時加入的，詳情請閱讀OAuth的改變）
   • SERVER校驗前面的參數(shù)，生成access_token和access_token_secret，然后將access_token，access_token_secret，用戶ID，應用ID進行映射，并存在服務器數(shù)據(jù)庫（長期有效）
   • WEB獲得并存儲access_token等，然后通過access_token等向SERVER請求用戶openId或者其他的用戶信息
   • WEB獲得用戶信息重定向用戶去主頁或者指定頁面...
     具體參考鏈接：
     開放平臺_OAuth2.0
     OAuth的改變（文章很好的描述從1.0到1.0a防止會話固化×××所做的改進）
     OAuth 1.0 協(xié)議學習
     對OAuth2.0協(xié)議的理解