授权码许可

第三方软件通过授权码获取访问令牌，这是最安全的方案。

在规范中有四个概念分别是资源拥有者、客户端（第三方软件）、授权服务和受保护资源，上图将第三方软件拆分为前后端更容易理解颁发流程。

资源拥有者凭据许可

第三方软件通过用户的账号和密码来获取访问令牌。

这种颁发模型认为不存在第三方软件，资源拥有者直接通过账号、密码来登录。

客户端凭据许可

第三方软件用开放平台颁发的app_id、app_secret获取访问令牌。

如果一些资源不需要授权，那么可以用这种。

隐式许可

第三方软件无需任何凭据即可获取访问令牌。

这种颁发模型认为没有后端服务，第三方软件纯在浏览器中。

参考

• OAuth 2.0 实战课