参考文章
组成成分
用户
应用1
应用2
流程
用户在应用1浏览、使用的过程中,涉及到要使用应用2功能的时候,就产生了 oauth 认证!
A. 登录授权
应用1携带如下查询字符串:
response_type
client_id
redirect_uri
scope
state
跳转到应用2的登录授权界面,用户输入应用2的账号、密码进行登录,登录后弹出是否对应用1授权。
B. 生成授权码
如果用户选择同意授权,那么应用2将生成授权码并携带授权码跳转回应用1提供的 redirect_uri。这个 redirect_uri 中可以做任意事情,比如保存授权码,后期再获取 token,或者继续认证步骤,通过授权码获取 token,这边要注意的是授权码的有效期!一般授权码有效期都较短,10min 左右。
C. 获取 token
之前都是采取链接跳转的方式(Get 请求)执行操作,到目前的获取 token 步骤后应使用 post 方式在服务端通过 curl 完成!!
应用1提供如下参数(redirect_uri 要和 A 步骤中的一致!!):
grant_type
client_id
client_secret
redirect_uri
code
authorization_code
xxx
xxx
xxx
向应用2发起 post 请求获取 token,应用2认证相关参数,通过后响应如下数据:
{
token_type: '' ,
access_token: 'xxx' ,
refresh_token: 'xxx' ,
expire: 'YYYY-MM-DD HH:II:SS'
}
应用1获取数据保存到数据库。
D. 调用
应用1调用应用2的 api,在应用1上提供应用2的服务!
应用1在请求头上携带:
Authorization: token_type access_token
调用应用2的 api 获取数据。
释疑
get/post 请求方式是如何确定的??
get/post 请求方式由实现方确定,即:应用2。我上面举的例子中是推荐采用的请求方式,实际请求方式应该根据实现方提供的开发文档确定!
如下字段是如何获取的??
client_id 应用id
client_secret 应用密钥
redirect_uri 重定向 uri
// 一般还需要提供
app_name 应用名称
app_url 应用网址
....等
应用1提前向应用2申请提供的