Auth2.0

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

说明及样例
https://blog.csdn.net/kkkloveyou/article/details/65531491

OAuth2.0 RFC 文档
https://tools.ietf.org/html/rfc6749
问题：

1. client向resource owner请求authorization的时候，具体表现是什么（直接向resourceowner申请，也可以向一个authorization server申请）？
2. client收到authorization grant （这个具体的表现形式是什么？），谁创建的？

Spring + OAuth2.0 的文档 https://blog.csdn.net/baidu_31405631/article/details/80927679

APPKey + SecretKey 还是会因为参数不变造成可能的重放攻击（不停的使用相同的参数发送请求），此时加入有timestamp特性的随机数，在指定的时间内记录所有的随机数，超时的相同的随机数废弃掉。