最近公司产品上线,通宵加班了一个月,一直没有更新,今天开始恢复,每日一更,冲冲冲
任务13:详解oauth2授权码流程
我们即将开发的产品有一个用户 API,一个项目服务 API,每个服务都需要认证授权,所以我们需要一个登录系统,用户(Android,IOS)通过登录系统获取 token,再使用 token 访问 API
在这个体系下都是自己的系统,可以输入用户名和密码,当用户在其他的平台,需要访问我们的 API,比如开发平台 open-api.mingson.cn,其他平台的用户不可能直接调用这个 API,必须得到授权才可以访问
如果访问的是网站,比如用户中心和人才中心,两个模块都需要跳转登录,我们会通过密码的方式访问登录系统,点击同意之后跳转
授权码模式步骤:
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
参考资料
理解OAuth 2.0:
https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
课程链接
http://video.jessetalk.cn/course/explore
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。
欢迎转载、使用、重新发布,但务必保留文章署名 郑子铭 (包含链接: http://www.cnblogs.com/MingsonZheng/ ),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。
如有任何疑问,请与我联系 (MingsonZheng@outlook.com) 。