什么是OAuth？如何构建单点登录系统？

OAuth是Open  Authorization的缩写。OAuth协议为用户资源身份验证提供了安全、开放和简单的标准。同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实施自己的OAuth认证服务，因此OAuth是开放的。业界提供了OAuth的各种实现(例如，PHP、JavaScript、Java、Ruby等等各种语言开发包)，因为，OAuth非常简单，从而大大节省了程序员的时间。

首先，必须了解几个基本服务方。

(1)第三方应用程序，如线路；也称为“客户端”

(2)资源所有者：资源所有者，也称为“用户”，即登录用户。

(3)user  agent:user  agent，本文档中是指浏览器。

(4)授权服务器：处理认证服务器或提供认证服务的服务提供商。

(5)资源服务器：资源服务器，即存储服务提供者创建的资源的服务器。可以是与认证服务器相同或不同的服务器，通常是相同的服务提供商。

其次，清楚Oauth协议安全设计

OAuth2.0协议是当前使用最广泛的SSO协议，它严格评估和设计协议设计中的各种风险和安全问题，开发时必须严格遵守OAuth2.0的安全相关准则。

主要风险和解决方法包括：

通过严格验证clientId和redirect_url来防止回调域名欺骗，验证clientid注册应用程式资源是否对应于redirect_url。否则，redirect_url将伪造为第三方欺诈域名，直接返回的授权码Code被泄露

因此，生成的授权码仅有效一次，客户端使用一次后立即失效，有效期短，防止在通过redirect_url浏览器回调的授权码被客户端正常消费后不被再次使用。

更多关于【OAuth】的方案、案例或者技术咨询，都欢迎联系得帆400电话，我们会派出最专业的团队，为您量身打造属于您的OAuth！