OAuth 2.0 基本概念
OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 例如这是我开发的网站 http://edraw.top/,你并没有在我的网站上注册过账号,但是你可以通过 QQ 来登录我的网站,登录之后,我的网站也可以获取到你的 QQ 昵称和头像。 假如你自己做了一个网站,也懒得做注册和登录模块,那你不妨像我一样,利用 OAuth 2.0 接入这些知名的站点,让他们的账号信息为我所用。
开发环境
我的网站后端是用 nodejs 写的,用的是 eggjs,实际的授权调用也都是在 node 端完成的。其他后端语言同理,下面是大致的流程图
流程分为 12 个步骤,以 github 授权为例:
- 浏览器端点击 github 小图标,请求服务端 /auth/github 接口;
- 服务端返回 302 重定向标志给前端,重定向的地址为:https://github.com/login/oauth/authorize?responsetype=code&redirecturi={应用回跳地址假设 A.com}&client_id={github 分配的应用唯一标识};
- 浏览器收到 302 标志后,跳转到上述地址;
- github 收到请求后,根据 client_id,为应用生成一个 code,我们称之为授权码。并且重定向到 http://A.com?code=xxx;
- 前端拿到授权码 code 后,向后端请求令牌 access_token;
- 后端接受到请求后,向 github 请求 accesstoken,请求参数为 code(授权码)、clientid(应用标识)、client_secret(应用秘钥);
- github 返回 access_token,及有效时间;
- 后端接收到 access_token 后将其写入 cookie,并返回给前端;
- 前端拿到 access_token 后,请求用户信息;
- 后端接收到请求后,去 github 上请求用户信息,参数是 access_token;
- github 返回用户信息 ;
- 后端将用户信息返回到前端。 因为 accesstoken 被写进了 cookie,前端所有的请求都会带上 accesstoken,后端就可以根据 cookie 中的令牌来验证用户身份。 每家站点的接入流程基本一致,QQ 会多一个步骤,所以放在最后讲。
关键术语定义
- 平台:需要接入的网站,如 QQ、微博、Github、百度;
- code:授权码,由平台返回;
- clientid:应用标识,在平台上创建应用后,由平台分配;
- clientsecret: