结合微信公众号授权理解OAuth2.0

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。
因为公司的SSO是基于OAuth2.0协议进行开发的,所以学习了阮一峰理解OAuth2.0 这篇文章,讲的非常详细,其中的授权流程让我想起以前曾经做过的公众号开发授权流程,现在结合公众号授权流程理解OAuth2.0协议

一、应用场景

我曾经开发的一个网站,用来读取用户的微信个人信息。
问题是只有得到用户的授权,我们才能通过微信来读取用户的个人信息。那么,怎样获得用户的授权呢?

能想到的问题:
1、用户不可能在我们的网站中输入密码等关键信息
2、微信有对外提供部分信息授予接口

查询微信公众号开发文档,它的授权过程就是遵循OAuth2.0协议的。

二、名词定义

(1)第三方应用程序,指的是本人开发的网站,这里称为myapp。
(2)HTTP service:服务提供商,指的是微信。
(3)Resource Owner:资源所有者,本文中又称”用户”。
(4)User Agent:用户代理,本文中就是指浏览器。
(5)Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
(6)Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。
知道了上面这些名词,就不难理解,OAuth的作用就是让”客户端”安全可控地获取”用户”的授权,与”服务商提供商”进行互动。

三、OAuth的思路

OAuth在myapp与微信之间,设置了一个授权层(authorization layer)。myapp不能直接登录微信,只能登录授权层,以此将用户与myapp分开来。myapp登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。
myapp登录授权层以后,微信可以根据令牌的权限范围和有效期,向myapp开放用户储存的资料。

结合微信公众号授权理解OAuth2.0_第1张图片

四、授权模式

1、授权码模式(authorization code)
常用,微信也是使用授权码模式,第五点详细分析

2、简化模式(implicit)
与授权码模式大致相同,只是少了一个步骤,详看阮一峰理解OAuth2.0

3、密码模式(resource owner password credentials)
不谈,指的是向用户索取密码

五、授权码模式

步骤:

(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

图解:
结合微信公众号授权理解OAuth2.0_第2张图片

例子:
公众号api

你可能感兴趣的:(学习日记)