我在了解设计Restful接口的时候,发现涉及到接口验证,可以利用OAuth2.0机制来验证。
我开发的微信端Web网页通过微信授权的时候,微信端也是用OAuth2.0机制来获取用户基本信息。
OAuth2.0
有四种授权模式:授权模式(微信)、简化模式(前者简化版)、密码模式、客户端模式。
授权模式(微信)
开发的微信端Web应用可以利用通过微信来获取用户基本信息,这样就免了用户去注册登录的繁杂步骤,只用点击微信的授权页面就能登录。
用户仅仅需要点击授权,Web应用就能通过微信拿到用户的微信基本信息,大大提高用户体验。
步骤
简化的步骤:Web后端拿到access_token,通过access_token去跟微信拿到用户信息。
所以关键是如何能够拿到access_token。
1. 用户授权
"https://open.weixin.qq.com/connect/oauth2/authorize?"
+ "appid=APPID&" // 代表你公众号
+ "redirect_uri=REDIRECTURL&" // 处理Code的URL地址
+ "response_type=code&"
+ "scope=SCOPE&" // 要拿到用户的基本微信(需要授权)还是只拿到用户的openid
+ "state=STATE&connect_redirect=1#wechat_redirect"; // state 参数用来验证 防止csrf(跨站请求伪造)攻击
这是微信官方页面,会出现授权按钮。
2. 获取access_token
一旦用户在上述页面点击了授权,那么微信就会把code参数和state参数传输到我们redirect_uri后端。
拿到state参数可用于验证,从而防止cstf。
重点在于code参数的利用。
"https://api.weixin.qq.com/"
+ "sns/oauth2/access_token?"
+ "appid=APPID&"
+ "secret=SECRET&"
+ "code=CODE&"
+ "grant_type=authorization_code";
然后再通过微信的接口,发送我们的appid和appsecret以及code,然后就能拿到access_token和授权用户的openid。
3. access_token和openid
通过access_token和openid 我们就能通过微信官方接口来获取授权用户的基本信息。
为什么access_token和openid就能拿到用户信息
1. 在微信官方页面,用户点击了授权(用户同意)
2. appsecret只有我们本身Web应用和微信才知道,同时redirect_uri也是登记在微信公众平台(Web应用的正确性)