基于 OAuth 安全协议的 Java 应用编程

核心提示： 从宏观层次来看，OAuth 按以下方式工作：消费方与不同的服务提供方建立了关系，基于 OAuth 安全协议的 Java 应用编程(2)，消费方共享一个密码短语或者是公钥给服务提供方，服务提供方使用该公钥来确认消费方的身份，授权该请求，一旦授权成功，消费方根据服务提供方将用户重定向到登录页面，该用

从宏观层次来看，OAuth 按以下方式工作：

消费方与不同的服务提供方建立了关系。

消费方共享一个密码短语或者是公钥给服务提供方，服务提供方使用该公钥来确认消费方的身份。

消费方根据服务提供方将用户重定向到登录页面。

该用户登录后告诉服务提供方该消费方访问他的保护资源是没问题的。

OAuth 认证授权流程

在了解 OAuth 认证流程之前，我们先来了解一下 OAuth 协议的一些基本术语定义：

Consumer Key：消费方对于服务提供方的身份唯一标识。

Consumer Secret：用来确认消费方对于 Consumer Key 的拥有关系。

Request Token：获得用户授权的请求令牌，用于交换 Access Token。

Access Token：用于获得用户在服务提供方的受保护资源。

Token Secret：用来确认消费方对于令牌（Request Token 和 Access Token）的拥有关系。

图 2. OAuth 授权流程（摘自 OAuth 规范）

查看原图（大图）

对于图 2 具体每一执行步骤，解释如下：

消费方向 OAuth 服务提供方请求未授权的 Request Token。

OAuth 服务提供方在验证了消费方的合法请求后，向其颁发未经用户授权的 Request Token 及其相对应的 Token Secret。

消费方使用得到的 Request Token，通过 URL 引导用户到服务提供方那里，这一步应该是浏览器的行为。接下来，用户可以通过输入在服务提供方的用户名 / 密码信息，授权该请求。一旦授权成功，转到下一步。