国密的OAuth标准发布的很晚，2019年7月份才发布，标准名称是GM/T 0068 开放的第三方资源授权协议框架。

不熟悉OAuth RFC标准，没有三方登录开发经验的（微博、微信三方登录），阅读该标准可能比较吃力。

国密OAuth安全技术要求

1.通信保密，要求基于国密HTTPS。

2.获取access token接口，需要双向认证。授权服务器对第三方服务器的验证：1.口令2数字证书。

3.对第三方重定向uri要重点保护，防止授权码泄露。1.固定，注册时提供2.强身份认证时，可以不固定。

4.第三方资源重定向接口防止攻击，添加state。防止恶意攻击重定向接口，每一个重定向都会访问授权服务器，造成授权服务消耗资源。

5.令牌加密，先用SM3，再用SM2，最后用SM4加密。