第三方登陆,网页授权

第三方登陆常用的有QQ,微信,新浪等登陆方式。在微信公众号的网页授权,百度熊掌号的网页授权中,也和第三方登陆流程相似。

第三方登陆用的是oAuth2.0协议。流程如下所示:

1.第三方向资源方申请appID和AppSecret。

2.第三方传参(appID,return_url和防止xss攻击的state)到资源服务器。

3.资源服务器接受参数并且判断appid是否存在。并跳转至用户授权页面。

4.用户授权。然后资源服务器收到用户授权。此时生成code,并把code存库,标志时间戳和未使用状态(一般code有使用次数要求),然后重定向到第三方服务器。

5.第三方服务器通过get接受code。第三方通过code,appID,AppSecret等参数post 请求资源服务器。

6.资源服务器接受并判断code,appID,AppSecret是否合法,生成access_token,refresh_token并设置这些数据的有效期等。之后向第三方服务器返回access_token,refresh_token,opened(用户唯一标识)。

7.第三方通过access_token和opened去请求资源服务器。

8.资源服务器接受并判断合法与否。若合法,向第三方服务器返回用户信息等。


网页授权和第三方登陆的用图除了给第三方授权之外,也可以给自己的软件授权,从而达到多款软件公用一个账号密码的作用。



展开阅读全文

没有更多推荐了,返回首页