OAuth2.0主要是做授权登录,比如授权qq登录
假设一个用户下网通过你的app,来分析他在github上的源码
1.client(我们的app)让用户点击"授权github登录"
2.用户点击"授权登录",重定向到github的授权页面(Authorization Server)
3.用户在github上,点击同意授权
4.Authorization Server向client发送一个access token(这一步可以包含多步,先发code,再用code拿去token)
5.client通过access token从github的Resource Server上获得相应的数据
为什么OAuth2.0要先给client返回code,而不是直接给token?(本图没有)
1.认证服务器(AS)要重定向到(302)到自己的网站(Client),从定向智能使用get,这样会暴露token(code暴露没问题,因为是一次性的,而且客户端会再次提交code,client_id,client_secret请求)
2.跳转之后,再给token则没有此问题,因为不需要跳转,就可以不用get请求了
如果不是做登录认证,则不需要给code直接返回token,就是上图
参考:
https://www.javazhiyin.com/35891.html