- 使用者請求授權:使用者在第三方應用程式中請求訪問受保護的資源。由於這些資源受到保護,因此需要進行授權。
- 授權伺服器認證:第三方應用程式將使用者重定向到授權伺服器。授權伺服器要求使用者進行身份驗證,這通常涉及到輸入使用者名稱和密碼或其他認證方式。
- 使用者授權:一旦使用者透過身份驗證,授權伺服器會展示給使用者一個頁面,要求使用者授權第三方應用程式訪問其受保護的資源。使用者可以選擇允許或拒絕這種訪問。
- 授權頒發:如果使用者同意授權,授權伺服器會生成一個訪問令牌(Access Token)並頒發給第三方應用程式。這個令牌是臨時的,並且具有可撤銷性,作為訪問受保護資源的金鑰。
- 訪問受保護資源:第三方應用程式使用這個訪問令牌向資源伺服器請求訪問使用者的受保護資源。資源伺服器會驗證令牌的有效性,如果令牌有效,則允許第三方應用程式訪問相應的資源。
在整個過程中,OAuth強調了使用者對其資料的控制權,同時也提供了安全的授權機制,使得第三方應用程式可以在使用者授權的情況下訪問受保護的資源,而無需獲取使用者的敏感資訊(如使用者名稱和密碼)。