RFC

OAuth vs Xauth

Xauth是简单的OAuth，省掉了上图的ABCD，直接改成一步拿到access token（提供user,pass，服务器返回access token）。这种做法其实不被推荐,参考Retirement of xauth。

为什么，这个要从OAuth的定位说起

The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource owner by orchestrating an approval interaction between the resource owner and the HTTP service, or by allowing the third-party application to obtain access on its own behalf.

OAuth主要是做第三方认证（第三方即图中的Client）。

• 比如用户U在B公司有数据。A公司想要访问这些数据
• 比如我做一个网站，允许通过Facebook登陆。那么我就是Client，Facebook的用户就是自己在Facebook数据的Owner，Facebook承担Auth的职责。

那么我想要访问用户X在Facebook的数据的时候，怎样交互呢。理论模型就是

• 我问X，我想访问你在Facebook 的数据，可以吗。
• X说可以。
• 我找到Facebook，说，X同意我访问他在你这的数据了。以后我就找你要了啊。
  • Facebook问X，这是真的吗，
  • X说是的。
  • 我就可以访问X在Facebook的数据了。

那么这个模型这么形成一个协议呢。OAuth就是这样的协议。

• 用户在我的网站上，点击【使用Facebook 登陆】，我跳转到Facebook授权页面
  • 用户在Facebook登陆，点击授权
  • Facebook跳转到我的回调地址
  • 我拿到了auth grant
• 我向Facebook发起请求，提供给他auth grant
  • Facebook拿到auth grant，验证成功，下发给我一个access token
• 未来，我就可以拿access token去请求X在Facebook的数据了。

问题：

• 在这个过程中，我拿到用户的账号密码了吗？ 没有，用户只会在Facebook上输入账号密码。我拿到的只是auth grant和access token。这也就是所谓的第三方授权

The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service...