OAuth2协议在API访问授权中广为使用，Google、Facebook、微博、腾讯的公开API也都使用它。虽然在使用上有些复杂，尤其是服务器端的使用更为繁琐，但它在权限授予、资源访问限制上的优势让其使用广泛。 OAuth2的协议流程如下： 以国内的微博为例， Resource Owner=微博用户； Client＝第三方应用，如Fuubo、Weico； Authorization Server＝微博平台授权服务器； Resource Server＝访问微博、用户信息等资源的服务器 当开发者决定要开发一款基于微博的应用时，需要到 http://open.weibo.com 去填写一些资料，比如应用名称、类型、访问哪些资源，提交相关信息之后，微博后台会创建应用，分配一个client_id和client_secret，这两个字段对你的应用至关重要，以后会派上用场。 下面就开始正式的OAuth2协议流程： A、开发者构造Authorization Request （请求微博用户授权），如果此时微博用户A没有登录会直接跳转到微博登录页面，如果已经登录会跳转到授权页面，如图