在一個單位中，可能是存在多個不同的應(yīng)用，比如汽車制造企業(yè)會有財務(wù)的系統(tǒng)，4S店的銷售系統(tǒng)，面向車主的論壇系統(tǒng)，還有ERP、OA、CRM系統(tǒng)等等，如果每個系統(tǒng)都用獨立的賬號認(rèn)證體系，會給用戶帶來很大困擾，也給管理帶來很大不便。所以需要設(shè)計一種統(tǒng)一登錄的解決方案。比如我登陸了賬號，進(jìn)貼吧時發(fā)現(xiàn)已經(jīng)登錄了，進(jìn)糯米發(fā)現(xiàn)也自動登錄了。

常見的有兩種情況：

1）多平臺登錄，效果是可以用一個賬號（比如QQ賬號）登錄多個不同的網(wǎng)站；多個網(wǎng)站多次登錄，但是用戶名密碼一樣，只要記住一個用戶名密碼；

2）SSO（單點登錄）效果是一次輸入密碼多個網(wǎng)站可以識別在線狀態(tài)；一次登錄可以多次訪問不同應(yīng)用系統(tǒng)；

顯然大家希望使用第二種方式，更自由更方便，當(dāng)然安全風(fēng)險也隨之而來，怎么解決既方便又安全的SSO呢，于是OAuth出現(xiàn)了；

OAuth2.0是一個關(guān)于（authorization）的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)，在得到廣泛應(yīng)用，目前的版本是2.0版。OAuth 2.0的運行流程，有興趣的朋友可以查看文檔RFC 6749。

碼模式（authorization code）是功能最完整、流程最嚴(yán)密的模式，也是最繁瑣的一種模式。它的特點就是通過客戶端的后臺服務(wù)器，與"服務(wù)提供商"的認(rèn)證服務(wù)器進(jìn)行互動。

client向資源服務(wù)器請求資源，被重定向到服務(wù)器；

瀏覽器向資源擁有者索要，之后將用戶發(fā)送給服務(wù)器；

服務(wù)器將碼轉(zhuǎn)經(jīng)瀏覽器發(fā)送給client；

client拿著碼向服務(wù)器索要訪問令牌；

服務(wù)器返回AccessToken和RefreshToken給cilent。

OAuth2.0協(xié)議是目前被運用廣泛的一個SSO協(xié)議，在早期的時候爆發(fā)過不少相關(guān)的安全方面的漏洞，其實仔細(xì)分析后會發(fā)現(xiàn)大都都是沒有嚴(yán)格遵循OAuth2.0的安全相關(guān)的指導(dǎo)造成的。