OAuth2.0的四种授权方式

哪四种模式？

OAuth 2.0 规定了四种获得令牌的流程。

注：不论采取哪一种授权方式，都需要客户端在资源服务器上进行备案（即建立系统间的互信关系）。客户端在资源服务器上备份过后，资源服务器会为客户端颁发客户端id（client ID）和**（client secret）。以上四种方式都需要客户端持有正确的client id和secret。

授权码（authorization code）方式，指的是第三方应用先申请一个授权码，然后再用该码获取令牌。

这种方式是最常用的流程，安全性也最高。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。前后端分离的设计，可以有效避免令牌泄漏。授权码模式的访问流程如下图所示。

OAuth2.0的四种授权方式

面向纯前端应用。这个方式没有授权码这个中间步骤。

允许客户端或者第三方应用，直接使用用户的账号密码进行令牌的获取。适用场景：该应用或客户端是被用户高度信任的。

适用于没有前端的命令行应用，即在命令行下请求令牌。是否可以理解成纯后端请求？

客户端直接凭client ID和**（client secret）向资源服务器请求令牌。

注：这种方式给出的令牌，是针对第三方应用的，而不是针对用户的，即有可能多个用户共享同一个令牌。

通常我们会给令牌设置一个有效期。令牌的有效期到了，如果让用户重新走一遍上面的流程，再申请一个新的令牌，很可能体验不好，而且也没有必要。OAuth 2.0 允许用户自动更新令牌。

具体方法是，B 网站颁发令牌的时候，一次性颁发两个令牌，一个用于获取数据，另一个用于获取新的令牌（refresh token 字段）。令牌到期前，用户使用 refresh token 发一个请求，去更新令牌。

请求示例：

https://b.com/oauth/token?
grant_type=refresh_token&
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET&
refresh_token=REFRESH_TOKEN

资源服务器会返回一个access_token（用于访问业务数据）和refresh_token（专门用于更新令牌）

本文参考了阮一峰大佬的博客，原文请参阅：http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html