理解 oAuth 2.0 的工作流程

QQ，微博，微信，这些平台都开放了一些资源给我们，在我们自己的网站或应用里可以去使用这些第三方平台提供的资源。我们的用户也很可能是这些大平台的用户，这样用户授权以后，我们就可以使用用户在这些平台上的资源了，比如得到用户的微博，评论，ta 关注的人等等。

用户在你的网站上发布了一条信息，只要用户允许，你也可以把这条信息放到用户的微博上。使用这些第三方平台提供的资源，大部分都需要让用户登录授权，oAuth 就是一种登录授权的方法，QQ，微博，微信都支持使用这种方法。《oAuth 2.0 身份验证流程》可以帮助您理解 oAuth 的工作过程。

申请

先要到您想使用的平台上面去申请一下，一般你可以搜索 “xx 开放平台”，“xx API”，大部分是在这些平台的开发者网站上去申请，你可以在上面创建一个应用，审核通过以后他们会给你的一个 API 的 Key 与 Secret ，在我们的网站或应用里需要用到这些东西，比如使用它们去申请授权码与访问令牌，有了这些你才可以使用这些平台提供的资源。

使用 xx 登录

在我们的应用里可以创建一些登录用的按钮，比如 “使用豆瓣登录”，“使用微博登录” 等等，用户可以选择自己想要的登录方式。

授权页面

这些第三方平台都提供了一个授权页面，在这个页面上，用户可以使用自己在这个平台上的帐号登录并授权一下，用户也可以选择拒绝。

授权码

用户在第三方平台登录并授权我们的网站或应用使用他们在这些平台上的资源以后，用户会被重定向到我们自己指定的某个地址，在这个重定向的地址上面，会包含一个授权码，这个地址就是我们自己的服务端的地址，所以我们可以通过一些方法得到这个地址上的授权码。

访问令牌

用户授权我们使用他们在其它平台上的资源以后，这些平台会给我们返回一个授权码，使用这个授权码，我们需要再去申请一个访问的令牌（就是一串字符），有了这个令牌以后，我们就可以去得到想要的资源了，比如得到用户发布的微博，用户关注的人等等。也就是在请求这些资源的时候，你需要带上这个令牌，有些平台需要把这个令牌放到请求的头部里面，有些平台可以使用参数的方式。

练习

在某个平台去申请一下，比如豆瓣，非常简单，审核也很容易，也不用花钱。主要是得到 API 的 Key 与 Secret ，然后使用浏览器，还有 POSTMAN ，就可以练习整个 oAuth 授权认证的过程了。