02-OAuth2

OAuth 2.0 是目前行业内最标准的授权（Authorization）协议。

简单来说，它的核心目的是：允许第三方应用在不知道你密码的情况下，获得你账号的部分权限。

为了让你透彻理解，我们可以从一个生动的生活类比开始，然后详细拆解角色和流程。

想象你去住一家高级酒店：

在这个过程中，服务员永远不知道你的身份证号（密码），且你随时可以通知前台注销这张房卡。这就是 OAuth 2.0 的精髓。

在 OAuth 2.0 的世界里，有四个关键角色：

资源拥有者 (Resource Owner)：就是用户（你）。数据是你的。
客户端 (Client)：想访问你数据的第三方应用（例如：想用微信登录的“某某阅读App”，或者想通过 Google Calendar 同步日程的“待办事项App”）。
授权服务器 (Authorization Server)：负责发证的管家（例如：微信开放平台、Google Auth Server）。它验证你的身份并颁发令牌。
资源服务器 (Resource Server)：存放数据的仓库（例如：微信的用户头像API、Google Calendar API）。

OAuth 2.0 有几种模式，但最常用、最安全的是授权码模式 (Authorization Code Grant)。

假设你想在一个名为“画图神器”的网站上，导入你 Google 相册里的照片。流程如下：

点击连接：你在“画图神器”上点击“连接 Google 相册”。
重定向：“画图神器”会将你的浏览器重定向到 Google 的授权页面。
- 此时你会离开“画图神器”，看到 Google 的网址。
用户登录与同意：你在 Google 页面登录（如果你没登的话），屏幕会弹出一个框：“画图神器申请访问你的相册，是否同意？”
获取授权码 (Code)：你点击“同意”后，Google 会将你的浏览器重定向回“画图神器”的网站，并在网址后面附带一个临时授权码 (Authorization Code)。
- 例子：https://huatushenqi.com/callback?code=xyz123

用码换币：“画图神器”的后端服务器拿到这个 code，立刻向 Google 的授权服务器发起请求。它会提交：
- 刚才收到的 code
- 它自己的 Client ID 和 Client Secret（证明它是合法的应用）
颁发令牌：Google 验证通过后，会返回给“画图神器”后端两个关键东西：
- Access Token (访问令牌)：真正的钥匙。
- Refresh Token (刷新令牌)：备用钥匙（用于当 Access Token 过期后换新的）。

你可能会问：为什么第4步不直接给 Token，而是先给一个 Code，再回去换 Token？

这是一个非常重要的安全设计：

避免浏览器泄露：URL 里的参数很容易被浏览器历史记录、插件或中间人截获。如果直接在 URL 里传 Access Token，一旦泄露，黑客就能直接操作你的账号。
安全通道：Code 是一次性的，且时效极短。真正的 Access Token 是通过后端到后端 (Back-channel) 的请求交换的，这个过程用户看不见，浏览器看不见，黑客很难截获。

Access Token (访问令牌)：
- 用途：直接用来请求数据。
- 特点：有效期短（通常 1-2 小时）。就像酒店房卡，丢了也没事，马上就过期了。
Refresh Token (刷新令牌)：
- 用途：当 Access Token 过期时，用它去换一个新的 Access Token，而不需要用户重新登录。
- 特点：有效期长（几天甚至几个月）。必须严格保密，通常只存在后端的数据库里。

OAuth 2.0 解决了互联网最核心的信任问题：如何让第三方应用干活，但又不把家里的钥匙（密码）交给它。

它通过授权码、访问令牌和刷新令牌的机制，确保了权限是可控的、临时的、且随时可撤销的。

CS Notes