对于什么,完全是OAuth,你似乎有点困惑,所以希望我可以在这里澄清.

OAuth不是一个Web服务或者你消费的东西.这是一种协议,它描述了一个站点可以如何对服务进行身份验证的方式,而不允许站点知道用户的凭据是什么.大多数OAuth提供商也有一个优点：一个Web服务可以查询用户的信息,同时可以授予许可.

通常,您有兴趣从站点的角度实施OAuth(例如,AcmeWidgets.com),以便用户可以通过Facebook或Google登录.但是,您也可以实施服务端(例如,Facebook通常会在其中),并允许其他人对您进行身份验证.

所以,例如,假设您有一个Web服务,允许第三方网站为用户提供Acme品牌小部件.您的第一个第三方实施者是受欢迎的MyBook.org.流程将如下所示：

>有人邀请用户在MyBook个人资料上使用“Acme Widgets”应用程序.
>用户点击按钮,重定向到AcmeWidgets.com.网址看起来像：

http://acmewidgets.com/oauth/user?r=http://mybook.org/oauth/client\u0026amp;appid=12345
>询问用户是否要允许MyBook访问其数据和配置小部件.
>用户单击是,Acme Widgets注意到用户已经允许了.
>用户将被重定向回MyBook,网址如下所示：

http://mybook.org/oauth/client?token=ABCDEFG
> MyBook,在服务器端,现在采取该令牌,并将一个Web服务调用回到AcmeWidgets：

http://acmewidgets.com/oauth/validate?token=ABCDEFG\u0026amp;appid=12345\u0026amp;appsecret=67890
> AcmeWidgets用标识用户的最终认证令牌进行回复.
>或者,它失败,这意味着用户试图伪造令牌,或者他们拒绝许可或其他一些失败的条件.
> MyBook,带有令牌,现在可以调用AcmeWidgets API：

http://acmewidgets.com/api/provision?appid=12345\u0026amp;token=ABC123\u0026amp;type=etc

这就是所谓的OAuth舞蹈.请注意,这里有一些实现定义的东西,如URL,编码各种令牌的方式,令牌是否到期或被撤销等.

希望为您清除一切！