OAuth（Open Authorization）是一个关于授权（authorization）的开放网络标准，允许用户授权第三方应用访问用户的授权信息，而不需要提供账号密码给第三方应用。 协议的特点： 简单：不管是协议的提供者还是第三方应用的开发者，都很容易理解并使用 安全：没有涉及到用户的秘钥等敏感信息，更加的安全和灵活 开放：任何服务提供商都可以按照OAuth协议进行实现

1）Resource Owner：资源所有者，也就是“用户”。 2）Authorization server：授权服务器，服务提供者专门用于处理认证授权的服务器。 3）Resource server：资源服务器，服务提供者用于存储用户生成的资源的服务器。

OAuth在"客户端"与"服务提供商"之间，设置了一个授权层（authorization layer）。"客户端"不饿呢过直接登录“服务提供商”，只能登录授权层，以此来区分用户和客户端。第三方应用登录授权层所用的令牌（token），和用户的密码不同，用户在登录授权时，可以指定授权令牌·的权限和有效期。 OAuth2的执行流程：

A）用户使用第三方客户端，第三方客户端要求用户进行授权 B）用户同意授权 C）客户端得到用户授权后，向授权服务器申请令牌 D）授权服务器进行认证通过后，同意发放令牌 E）客户端使用令牌，向资源服务器申请获取资源 F）资源服务器确认令牌合法后，同意向客户端开放用户授权的资源

客户端在得到用户授权后，才能获取令牌，但是不管是哪种授权模式，第三方应用在申请令牌前，都要在系统中进行备案，然后会拿到该客户端的两个重要标识：客户端ID（client ID）和客户端秘钥（client secret）。 1）授权码模式（authorization code） 授权码模式就是第三方应用先获取一个授权码，然后再使用授权码去获取令牌。这种方式安全性是最高的，也是主流使用的方式。

2）简化模式（implicit） 该模式通常针对第三方式纯web应用，没有后端。简化模式直接在浏览器中向授权服务器申请令牌，跳过了授权码这一步，所有步骤都是在浏览器完成，因此该模式很不安全。通常令牌的有效期很短，一般就是session的有效器。

3）密码模式（resource owner password credentials） 此模式是将用户的账号密码告诉客户端，但是客户端不得存储密码，然后客户端使用密码获取访问令牌。一般使用在集成系统的子系统中。

4）客户端模式（client credentials） 该模式通常用于没有前端的应用，客户端不是以用户的名义获取数据，而是以客户端自身。

令牌是有时限限制的，不能一直使用，如果令牌过期后，还要经历上面这么多步骤，那可能性能、体验上都比较差，而且反复进行验证也是没有必要的。

而关于具体的方式，则是使用刷新令牌，在令牌过期前，通过刷新令牌发送请求，去更新令牌。

单点登录（single sign On），简称sso。它的用途在于不管多复杂的应用群，只要登录一次，在用户授权范围内地所有系统，都可以访问。

1）同域单点 使用场景：所有系统都在一个一级域名的不同二级域名下

2）跨域单点 单点登录之间系统域名不一致，这样就无法共享Cookie，也就获取不到同一个session。此时需要通过单独的授权服务（UAA）来管理统一登录。

核心原理： a）系统1没有登录，跳转UAA请求授权 b）在UAA系统中输入用户名、密码进行登录操作 c）登录完成后将信息存储在UAA的session中，并写入该域名的Cookie d）此时系统2也没登录，也要跳转UAA进行授权 e）由于系统1的登录信息存储在UAA的session中，然后读取session中的登录信息，完成单点登录

JSON web token（jwt），它定义了一种简介的、自包含的协议格式，通信双方都是用json传递数据。传递的信息通过数字签名可以被验证。

1）头部（header） 头部描述jwt的基本信息：类型、签名所用算法。

对头部进行base64加密后，就是第一部分的内容。 eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 2）载荷（payload） 这一部分就是存放有效信息的地方： iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间，这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前，该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

3）签名（signature） 这一部分主要是加盐（secret）进行令牌的组合加密

secret是保存在服务端的私钥，是不能够泄露出去，也不能存储在客户端。