oidc

OAuth 2.0 原理 下面可以通过一个场景来解释一下，OAuth2.0的原理：一个快递员的问题

假设你住在一个大型的小区中，你经常点外卖，而小区有门禁系统，进入的时候需要输密码

为了能让快递员进入，你就需要为他提供一组密码

如果你直接把你的密码给了快递员，那么他就有了和你一样的权限，如果你想取消他的权限，那只能改密码了，这样你还要通知使用该密码的其他人

所以你打算设计一套授权机制，既能让快递员进来，又能限制他的操作并且能随时回收这个密码

授权机制的设计 于是，你想出了一套办法，完善门禁系统：

在门禁系统下面安装一个按钮，快递员要想进入小区，首先得先按这个按钮来获取进入小区的权限 他按下按钮之后，在你手机会显示出一条信息，xxx公司的xxx快递员在获取门禁的权限 当你确认信息之后，在手机上按下确认授权，手机就会向门禁发送一条授予xxx员工权限的信息 门禁收到确认授权信息之后，就向快递员发送一个令牌；该令牌只有七天的权限，并且只能通过小区等几个指定的门禁 快递员拿到令牌之后，就能进入小区了 此处为什么要给他生成一个令牌，而不是直接给他开门呢？

因为从小区大门到目的地可能会有多个门禁，所以就不用一直等着给快递员开门了；同样的，如果第二天快递员再来时就不需要再获取权限了

密码和令牌都让获取第三方获取用户数据，但是相较于密码，令牌有如下的有点：

令牌是短暂的，过期就会失效；而密码一般长期有效，用户不更改不会变化 令牌可以被撤销，比如你不想让某个快递员进入了你就可以撤销他的令牌 令牌能够指定权限范围，比如你可以限定快递员只能进入大门和二号楼的门禁 令牌能够有效的控制第三方应用的访问权限和访问时长；当然，令牌也是必须要保密的，因为泄露令牌和泄露密码一样，也会造成安全问题，因此一般令牌的有效时间都会设置的比较短