摘要

OAuth 2.0认证框架能够使第三方应用来进行一定限制的http服务访问，亦或者以通过编排资源所有者和Http服务之间的交互许可来作为服务所有者的代表，或允许第三方应用本身访问服务本身代表，但是这一特性已在OAuth 1.0协议中废弃。

事例状态

这是一个标准的Internet跟踪文档

这个文档是IETF（Internet Engineering Task Force）的产品，它展示了IEFT社区的一致意见，它也受到了广泛的review,并且被IESG所出版，、。

在传统的客户端-服务端认证模式中，通过使用服务端提供的凭证来访问服务端受限的资源，为了提供第三方应用来访问受限资源，服务端提供自身的凭证给第三应用，这样将产生几点问题和缺陷。

1、第三方系统要提供服务的凭证来为以后进行使用，通常如平文本中的密码

2、服务端需要密码支持，尽管以密码的方式固有的薄弱

3、第三方应用获得过多广泛的服务端受保护的访问资源，使得服务者本身在访问期间访问受限或者访问服务的一些集合受限

4、服务端不能撤销非法的第三方应用，这些第三方应用没有撤销访问的能力，如果一定要撤销些访问的话只有改变第三方应用的密码。

最后编辑于：2017.12.05 06:35:32

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成，浏览时请结合常识与多方信息审慎甄别。
平台声明：文章内容（如有图片或视频亦包括在内）由作者上传并发布，文章内容仅代表作者本人观点，简书系信息发布平台，仅提供信息存储服务。