主要观点：OAuth2 是世界上最流行、可扩展的授权框架，能让不同系统通过委托访问数据实现集成，但多数人不理解其工作原理。本文将揭示 OAuth2 协议设计背后的“原因”并分解常见认证授权。
关键信息：

• 背景：为解决像在 Fly.io 或 Vercel 这样的用户友好部署平台导入代码的问题，引出 OAuth2 出现的必要性，对比了用户凭证共享和个人访问令牌的优缺点。
• OAuth2 定义及角色：是定义访问或权限请求与委派的框架，定义了资源服务器、资源所有者、授权服务器、客户端应用等三个主要角色及它们之间的交互。
• 客户端应用：分为公共和私有应用，需注册并获取客户端凭证，用于向授权服务器请求访问资源服务器的权限。
• 授权服务器：处理授权流程并颁发访问令牌，需提供多个端点，安全至关重要，因为一个授权服务器可能处理多个资源服务器的授权。
• 访问令牌：是特殊凭证，可简化资源服务器对客户端应用访问的验证，有不同类型和生命周期，短寿命的访问令牌可结合长寿命的刷新令牌使用。
• 授权范围（Scopes）：是资源所有者授予客户端应用的功能集，是粗粒度的，可组合。
• OAuth2 流程：包括授权码、刷新令牌、隐式、客户端凭证、资源所有者凭证、设备代码等流程，各有特点和适用场景。
  重要细节：
• 详细介绍了每种 OAuth2 流程的具体步骤，如授权码流程中的授权请求和代码交换，隐式流程中客户端获取访问令牌的方式，设备代码流程中设备授权请求和访问令牌 polling 等。
• 提及 PKCE 可增强授权码流程的安全性，以及不同流程在各种应用场景下的适用性和注意事项。
• 列出了相关的 RFC 文档和实际应用平台（如 GitHub、GitLab、Bitbucket 等）的 OAuth 相关文档作为参考。