OAuth是一种授权机制,允许第三方应用在用户许可下访问数据。流程包括用户授权、申请token、资源服务器校验并发放token。获取token的方式有授权码、隐藏式、密码式和客户端凭证。拿到token后,每次API请求需附带Authorization字段,且可通过refresh_token更新token。
OAuth就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的、一定权限的令牌(token),用来代替密码,供第三方应用使用。
流程
1.第三方客户端要求用户给与授权
2.用户同意给与授权
3.根据授权,向需要访问的资源服务器申请token
4.资源服务器校验用户授权,没问题发放token
5.第三方客户端拿着token访问资源
token获取方式
A请求用户授权,获取到token来访问B的数据。获取token的方式包括以下几种:
- 授权码
- 隐藏式
- 密码式
- 客户端凭证
1.授权码
第三方应用先申请一个授权码,然后再用该码获取令牌。这个是目前大多数应用采用的方式。
适用于有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。
第一步,A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。
https://b.com/oauth/authorize? response_type=code& client_id=CLIENT_ID& redirect_uri=CALLBACK_URL& scope=read
response_type参数表示要求返回授权码(code),client_id参数让 B 知道是谁在请求,redirect_uri参数是 B 接受或拒绝请求后的跳转网址,scope参数表示要求的授权范围(这里是只读)。
第二步,用户跳转后,B 网站会要求用户登录,然后询问是否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时,会传回一个授权码,就像下面这样。
https://a.com/callback? code=AUTHORIZATION_CODE
code参数就是授权码
第三步,A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌。
https://b.com/oauth/token? client_id=CLIENT_ID& client_secret=CLIENT_SECRET& grant_type=authorization_code& code=AUTHORIZATION_CODE& redirect_uri=CALLBACK_URL
client_id参数和client_secret参数用来让 B 确认 A 的身份(client_secret参数是保密的,因此只能在后端发请求),grant_type参数的值是AUTHORIZATION_CODE,表示采用的授权方式是授权码,code参数是上一步拿到的授权码,redirect_uri参数是令牌颁发后的回调网址
第四步,B 网站收到请求以后,就会颁发令牌。具体做法是向redirect_uri指定的网址,发送一段 JSON 数据。
{"access_token":"ACCESS_TOKEN","token_type":"bearer","expires_in":2592000,"refresh_token":"REFRESH_TOKEN","scope":"read","uid":100101,"info":{...}}
上面 JSON 数据中,access_token字段就是令牌,A 网站在后端拿到了
2.隐藏式
省略授权码,直接向前端颁发令牌。
纯前端应用,没有后端。令牌储存在前端。
3.密码式
应用直接使用用户名和密码,申请令牌
4.客户端凭证
通过命令行发送请求,校验通过后,返回令牌。
针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。
token使用
拿到token后,每次请求API,请求头中加Authorization字段
token更新
在获取到token时一般有两个,其中一个refresh token用于更新token
https://b.com/oauth/token?
grant_type=refresh_token&
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET&
refresh_token=REFRESH_TOKEN
90
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
