国家标准计划《网络安全技术 开放的第三方资源授权协议》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 大唐高鸿信安（浙江）信息科技有限公司 、中国科学院信息工程研究所 、北京数字认证股份有限公司 、中国科学院软件研究所 。

本项目旨在解决互联网跨安全域的资源安全共享问题。

在提供了资源互访接口的开放信息系统中，利用Web、桌面、手机或其他智能设备应用程序实现互联已成为一种主流趋势。

本项目提供一个标准化的协议和框架，允许用户授权第三方应用访问另一个安全域中受保护的资源，实现信息资源共享、业务合作，同时保护隐私与数据安全。

本项目实现身份与资源互联互通的标准化，为测评机构安全性测评工作提供了基础。

为互联网多种服务场景提供第三方身份登录、跨安全域资源获取能力。

为数据交易流通利用场景提供身份登录与数据资源授权技术。

有效降低隐私泄露风险，保护数据安全。

同时也促进了密码合规性在大规模开放式资源授权场景下的应用。

意义具体包括如下几个方面： （1）实现互联网跨安全域的资源共享，是数据安全和授权领域的基础性共性标准，是互联互通互认的基础。

由于第三方资源在云计算、社交服务等的应用模式中广泛应用，因此亟需制定国家标准来实现跨安全域的资源授权，解决传统的身份验证方式在跨应用访问资源时存在严重的隐私泄露等安全隐患，同时保证跨域授权的便捷性和安全性。

（2）实现在线支付、社交媒体、云存储服务等领域第三方资源授权和登录，技术使用广泛，已成为事实标准。

国际上有通用的OAuth协议做参考，国内有本团队牵头制定的行业标准GM/T 0068《开放的第三方资源授权协议框架》提供应用实施情况反馈。

（3）实现第三方资源授权协议中密码技术国产化。

本项目在参考国际通用OAuth协议基础上，按照我国相关密码政策和法规，结合我国实际应用需求及产品生产厂商的实践经验，增加了基于SM2国产密码算法的数字证书鉴别方法，我国密码行业标准SSL VPN技术规范中定义的安全通信协议，对访问令牌的保护增加了采用SM2、SM3、SM4等国家密码管理局认可的算法对其进行签名和加密的规定。

本标准规定了第三方资源授权协议的流程、不同类型的授权许可、协议各端点的功能要求以及系统实体之间传递消息的格式和参数要求等。适用于在互联网跨安全域应用场景中，身份鉴别与授权服务的开发、测试、评估和采购。通过将第三方应用程序与资源拥有者角色分离的授权机制，使得第三方应用程序不再使用资源拥有者的凭据访问受保护的资源，而是通过使用授权服务器在资源拥有者许可下发放的访问令牌访问受保护资源，有效保护用户隐私和数据安全。