oauthOauth的access token 安全么

新浪OAuth和Basic Auth两种方式的区别

开放平台有两种认证方式，一种是Basic Auth，一种是OAuth。

1、Basic Auth（HTTP Auth） Basic Auth简单点说明就是每次请求API时都提供用户的username和password。

。

这种方式优点和缺点都很明显。

优点： u 使用非常简单， u 开发和调试工作简单， u 没有复杂的页面跳转逻辑和交互过程； u 更利于发起方控制； 缺点： u 安全性低，每次都需要传递用户名和密码，用户名和密码很大程度上存在被监听盗取的可能； u 同时应用本地还需要保存用户名和密码，在应用本身的安全性来说，也存在很大问题； u 开放平台服务商出于自身安全性的考虑（第三方可以得到该服务商用户的账号密码，对于服务商来说是一种安全隐患），未来也会限制此认证方式（Twitter就计划在6月份停止Basic Auth的支持） u 用户如果更改了用户名和密码，还需要重新进行密码校验的过程。

2、OAuth OAuth为用户资源的授权提供了一个安全、开放的标准，将会是以后开发平台普遍遵守的，目前Twitter、Sina微博、豆瓣、Google等都提供对它的支持。

它分为几个交互过程： 1）应用用APP KEY和APP SECRET换取OAuth_token； 2）应用将用户引导到服务商的页面对该OAuth_token进行授权（可能需要输入用户名和密码）； 3）服务商的页面跳转回应用，应用再根据参数去服务商获得ess Token； 4）使用这个ess Token就可以访问API了。

上述过程如下图所示： OAuth认证过程 OAuth的优点： u 安全性高，用户的账户和密码只需要提供一次，而且是在服务商的页面上提供，防止了Basic Auth反复传输密码带来的安全隐患； u ess Token访问权限仅限于应用，被窃取不会影响用户在该服务商的其他服务； u ess Token即使被监听丢失了随时可以撤销，不像密码丢失可能就被别人篡改了； u 用户修改了密码也不会影响该应用的正常使用。

OAuth和Basic Auth两种方式的区别, OAuth是一种比较通用的，安全的认证方式，不需要用户名密码，只需要用户授权；basic auth是一种基于用户名密码的认证，每次访问都需带上用户的用户名密码。

什么是OAuth？

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。

与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。

微信如何设置开发者中心的 “OAuth2.0”网页授权？

需要在微信公众后台配置授权回调域名，配置注意事项请参考公众平台接口详细说明，配置成功后，可以通过请求授权页面，直到授权后重定向到回调地址。

具体操作：粘贴如下代码： public ActionResult WXBind() { string sUrl = "/oauth2/ess_token?appid=" + ViewUtil.WXappID + "&secret=" + ViewUtil.WXappsecret + "&code=" + Request["code"] + "&grant_type=authorization_code"; WebClient webClient = new WebClient(); Byte[] bytes = webClient.DownloadData(sUrl); string result = Encoding.GetEncoding("utf-8").GetString(bytes); JSONObject obj = JSONConvert.DeserializeObject(result); string sParam = Request["state"]; string sRedictUrl = ""; switch (sParam) { case "myorder": sRedictUrl = "/ount/Order?OpenID=" + obj["openid"] +"&Param=order"; break; case "book": sRedictUrl = "/Book/WXHotels";break; default: sRedictUrl = "/ount/Index?OpenID={0}" + obj["openid"]; break; } Response.Redirect(sRedictUrl); return View(); } OAuth2.0是OAuth协议的下一版本，但不向后兼容OAuth 1.0即完全废止了OAuth1.0。

OAuth 2.0关注客户端开发者的简易性。

要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户，要么允许第三方应用代表用户获得访问的权限。

同时为Web应用，桌面应用和手机，和起居室设备提供专门的认证流程。

2012年10月，OAuth 2.0协议正式发布为RFC 6749[1]? 。

微信公众平台开发 OAuth2.0网页授权获取用户基本信息

在用户没有关注的情况下，还是会产生一个与公众号对应的openid，可以根据这个openid和基础支持的ess_token（不是用code换取的ess_token）获取到用户的基本信息 用户信息中的subscribe 是为0的，表示没有关注。

Oauth的access token 安全么

Oauth作为方便多方服务资源等调用的协议，其开放性和安全性是一个平衡取舍的问题，没有绝对安全的数据。

当前ess Token的安全性是很高的。

答题不易，互相理解，您的采纳是我前进的动力 如果我的回答没能帮助您，请继续追问 您也可以向我们团队发出请求，会有更专业的人来为您解答