转自：http://www.cftea.com/c/2016/11/6703.asp

OAuth 白话简明教程 1.简述
OAuth 白话简明教程 2.授权码模式（Authorization Code）
OAuth 白话简明教程 3.客户端模式（Client Credentials）
OAuth 白话简明教程 4.刷新 Access Token
OAuth 白话简明教程 5.其他模式

OAuth 有几种模式，本文介绍最完善、最复杂、最常用的授权码模式(Authorization Code），也有人称授权码授权模式。

本文中只介绍原理，不介绍具体实现，因为各大公司在应用 OAuth 时均略有不同，所以在学习 OAuth 时没必要整那么细，了解原理后，再看看各大公司的文档，自然就明白其文档所讲的意思了。

先看流程图

解释一下

上图中有两个“重定向”，也就是我们说的 Response.Redirect。
携带参数就是指在 URL 后面追加 QueryString。

图中有三个红色的备注。

第一个红色备注参数解释如下：

client_id：就是第三方应用在授权服务器注册的 Id，比如现在千一网络要做 QQ 登录接口，都必须要先在 QQ 开放平台进行注册。
response_type：就是说你现在想干嘛，根据后面的流程，我们知道我们是想去获取 code 值，所以这里的值固定是“code”。
redirect_uri：前面不是提到授权服务器还要重定向回来么？重定向哪里呢？就是这个 URL。
scope：想要啥权限：可以读取 QQ 个人资料？可以发 QQ 空间？具体由提供 OAuth 的服务商（比如 QQ）来决定有哪些权限字符串。
state：随机字符串，可以省略。第三方应用可以指定一个随机字符串，一会儿授权服务器原封不动地把这个值传回来，第三方应用一验证——嗯，这个确实是我产生的随机字符串，这个确实是我发出的登录请求。

第二个红色备注参数解释如下：

code：授权服务器产生的一个临时随机码（一般 10 分钟内有效，使用一次后失效），第三方应用凭这个码去换正式的 Access Token。
state：就是第三方应用传来的 state，原封不动传回去。

第三个红色备注参数解释如下：

client_id：前面说过了。
grant_type：注意，现在是 grant_type，不是 response_type，就是说你想要用哪种模式，本文介绍的是授权码模式，所以这里就写“authorization_code”。
redirect_uri：与前面的保持一致，据说服务器除了验证 code，也要验证这个是否与之前的一致（图上没画这一流程）。
code：前面提到过的临时随机码。

code 相当于临时令牌，Access Token 相当于长期令牌（时间由授权服务器决定），那么为什么要用临时令牌换长期令牌呢？直接给长期令牌不好么？

（令牌，名字多高大上，但其实就是一个字符串，不过数据类型虽简单，但内容很有价值，就像银行卡密码。）

要说明的是用 code 换 Access Token 并不是通过用户代理（用户代理通常是浏览器），而是第三方应用的后台代码直接向授权服务器请求的（C# 中可用 WebRequest、WebClient），用户代理并不知道 Access Token 的值。这样做的好处是避免在用户代理上留下历史记录，也避免用户端中了木马后泄露 Access Token 值。

有了 Access Token 之后呢？

第三方应用可以做两类事：

一类是以 QQ 帐号在第三方应用上活动。（这类其实不需要 Access Token，OAuth 其实此时只是作一个单点登录的意思。）
一类是向资源服务器请求/传送资源，比如以用户的身份在 QQ 空间发布文章。（这才是 Access Token 的重要作用，它就是发布权限的凭据啊，这也是 OAuth 真正想解决的问题。）

传输安全

肯定得用 HTTPS，否则 Access Token 这种机密都被探听了（纵然没有经过用户代理，但能不保证第三方应用和授权服务器之间没人“偷听”）。

之前说过，各大公司在应用 OAuth 时有所不同，举点例呢？

我们在各大开放平台注册时，一般都有 app_id、app_secret，app_id 对应 client_id，app_secret 前面没有提，code 换 Access Token 时，有些公司要求参数中把 app_secret 也带上，有些公司却用签名（将 app_secret 混合在参数值中进行散列运算）的方式来实现。

有些就拿 Access Token 去资源服务器使用，有些却要求用 Access Token 换一个叫 Token 的东西，然后用 Token 去使用。

各大公司对参数名称的确定也不一定相同。