随着移动互联网的快速发展，越来越多的应用程序需要通过API来实现数据交互和功能扩展。而API的授权技术则成为了保障数据安全和应用程序合法性的重要手段。为了规范移动互联网应用编程接口的授权技术，保障用户数据安全和应用程序合法性，国家信息安全标准化技术委员会制定了本标准。

本标准适用于移动互联网应用编程接口的授权技术，包括但不限于Web API、RESTful API、SOAP API等。本标准规定了API授权的方式、流程、协议、安全等方面的要求，旨在提高API的安全性和可靠性，保障用户数据的安全和隐私。

本标准规定了API授权的方式，包括OAuth2.0授权、API Key授权、数字签名授权等。其中，OAuth2.0授权是最常用的授权方式，它通过授权服务器颁发访问令牌，实现对API的访问授权。API Key授权则是通过颁发API Key来实现对API的访问授权，数字签名授权则是通过数字签名来验证请求的合法性。

本标准还规定了API授权的流程，包括授权请求、授权许可、访问令牌等环节。授权请求是指应用程序向授权服务器发送授权请求，授权许可是指授权服务器对授权请求进行验证并颁发访问令牌，访问令牌则是应用程序访问API时所需的令牌。

本标准还规定了API授权的协议，包括OAuth2.0协议、OpenID Connect协议等。其中，OAuth2.0协议是最常用的授权协议，它定义了授权服务器、资源服务器、客户端等角色，并规定了授权流程和访问令牌的使用方式。OpenID Connect协议则是在OAuth2.0协议基础上增加了身份认证功能，实现了单点登录和用户信息共享等功能。

本标准还规定了API授权的安全要求，包括HTTPS传输、访问令牌安全、授权服务器安全等。其中，HTTPS传输是保障API传输安全的基本要求，访问令牌安全则是保障API访问安全的重要手段，授权服务器安全则是保障API授权安全的关键环节。

相关标准
- GB/T 35273-2017 移动互联网应用程序信息安全技术要求
- GB/T 35275-2017 移动互联网应用程序开发安全规范
- GB/T 35276-2017 移动互联网应用程序安全测试规范
- GB/T 35277-2017 移动互联网应用程序安全评估规范
- YD/T 2920-2015 移动互联网应用程序安全技术要求