access_token是什么，是为什么而设计的？

用于告诉服务端当前和你交流的是谁

先熟悉下 Oauth2 标准和授权了流程.

一般使用 access_token 的时候,还是要和 appid 一起使用,并且请求内容会使用 appsecret 签名防止被篡改.

一般 oauth2 请求授权时,会有一个 scope 参数,是向用户给指定 scope中定义的资源进行授权访问,用户这时时可以修改这个 scope 的.一般是页面复选框可以去掉部分授权.授权结束后,服务商就会返回第三方一个 access_token , scope 和 openid或者 uid,(其实还有一些,token_expires,refresh_token,refresh_token_expires,国内大多使用oauth2的服务商,都对其有所改造,但是核心不变). 这个时候, 你可以认为 openid(也就是你) 给 appid 的应用授权了 scope 这些权限,授权的 token 是 access_token.

这个时候,第三方应用就可以简单的通过 appid,openid,access_token 加上请求内容 并使用 appsecret 签名 发给服务商,服务商,就通过 appid 和 openid 找到你对应用的授权,对比access_token 看看有没有过期,和有没有权限读写服务商的接口...