好吧,我是安全域的新人,我正在尝试了解OAuth 2.0协议。 rfc6749的下一个声明对我来说不是那么清楚:
在传统的客户端 - 服务器身份验证模型中,客户端 请求访问受限资源(受保护资源) 服务器通过使用资源所有者的服务器进行身份验证 凭证。
为什么说客户端使用资源所有者凭据?通常,许多不同的用户可以访问资源,如果他们被授予这样做。他们都被视为资源所有者还是什么?谁是资源所有者?
P.S。对不起新手问题。
答案 0 :(得分:2)
只有一个资源所有者。 OAuth协议讨论受保护的资源,而不是您在互联网上上载供有人下载的文件。
以Facebook为例,您的新闻提要/墙壁等是受保护的资源,只有您(所有者)才能访问。 OAuth允许其他人使用某些约束访问这些资源。 (是的,代表您不断发布到您的墙上的应用就是一个例子。)
传统上,当您希望某人访问您受保护的资源时(例如,代表您在您的FB墙上写一些内容,比如更新您的状态消息),您必须向他们提供您的用户名+密码。这就是声明
在传统的客户端 - 服务器身份验证模型中,客户端 请求访问受限资源(受保护资源) 服务器通过使用资源所有者的服务器进行身份验证 凭证。
的装置。
随着OAuth的出现,您可以让其他人,应用访问您的受保护资源,而无需透露您的凭据。这就是当您在Facebook上启动应用程序并要求权限时所发生的情况 - 应用程序希望访问您的公共信息等等。
请阅读这篇小article。它以现实生活中的例子解释了OAuth如何运作。