7. OAuth 第三方認證
本節未完成
7-1 目標
在前幾章的認證實作中,我們是 API 伺服器的主人,我們擁有用戶的帳號密碼,因此可以要求他們輸入帳號密碼來登入。
但是如果我們想要串接微信平臺,想要獲得用戶的微信資料,那麼要求用戶在我們網站上輸入微信帳號密碼,對用戶來說是一件不合理且不安全的事情。
為了因應這種需求,這些開放 API 的大平臺,會實作一種叫做 OAuth(開放授權)的網路標準協定,允許用戶讓第三方應用(就是我們)存取該用戶在平臺上儲存的私密的資源(如相片,影片,聯絡人列表),而無需將用戶名稱和密碼提供給第三方應用。
http://zh.wikipedia.org/wiki/OAuth http://www.eggie5.com/57-ios-rails-oauth-flow https://blog.yorkxin.org/posts/2013/09/30/oauth2-1-introduction/