auth2.0分析:
背景: 为了解决接口权限问题。
解析设计:
第三方系统是consumer,资源提供系统是provider
1,第三方consumer系统想要获取资源首先和资源提供provider系统交涉,让资源提供provider系统 录入第三方consumer系统的信息。
2,provider系统会生成相关的clientId以及client_secret,类似于consumer系统的账号密码。
3,consumer系统主动调用接口获取token,grant_type为authorization_code,请求携带client_id和client_secret。 provider的网关为consumer系统生成token(一般是jwt生成)和refresh_token(密钥),第三方请求请求provider获取资源的时候需要带上对应的token,验证方解析token判断token中的用户信息以及过期时间。
4,如果consumer的token过期,那么consumer需将请头中对grant_type改为refresh_token,使用refresh_token进行token的刷新。
***普通登陆认证,页面权限
使用jwt生成token