转载和积累系列 - 关于Oauth2.0认证授权体系

  • 关于Oauth2.0

    度娘说:是OAuth协议的下一版本,但不向后兼容OAuth 1.0。 OAuth 2.0关注客户端开发者的简易性,同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。规范还在IETF OAuth工作组的开发中,按照Eran Hammer-Lahav的说法,OAuth将于2010年末完成。

  • 一个Oauth2.0的实例:

    1. 首先用户从第三方网站页面,302跳转到xxx开放平台的账号中心。
      这个时候,账号中心会让你输入用户名和密码(账号都是开放平台上面登录,所以是安全的。)
      需要输出的参数:appkey、回跳地址、认证类型
      URL:https://account.xxx.com/oauth/authorize?oauth_consumer_key=YOUR_APP_KEY&oauth_callback=YOUR_CALLBACK_URL&response_type=code

    2. 如果账号这些正确,就会302跳转到刚才用户所在的第三方网站的web站点
      跳转过去的时候,开放平台会带上一个临时授权的code,这code是临时的,不安全的,用于换取真正的Access Token用。
      URL:https://www.xxx.com/oauth_callback?code=CODE_GENERATE_BY_ACCOUNT

    3. 第三方如果是服务端的话,就可以获取到刚才的临时授权code,可以通过http请求,调用开放平台的API,从开放平台将code换取Access Token
      需要调用开放平台接口,并且带上参数:授权临时code、appkey等
      URL:https://account.xxxx.com/oauth/access_token?code=CODE_GET_BEFORE&grant_type=authorization_code&oauth_consumer_key=YOUR_APP_KEY&oauth_consumer_secret=YOUR_APP_SEC&oauth_callback=YOUR_CALLBACK_URL

    4. 最后就可以拿到Access Token了,拿到这个Token后,就可以安心的调用开放平台那边的API接口了。

  • 一个流程图,来源网络




    转载和积累系列 - 关于Oauth2.0认证授权体系_第1张图片

  • 说明:

    1. 为什么第一次要跳转到开放平台的页面上?因为用户名密码这些都需要在开放平台上登录,如果在第三方平台登录,那么完全可以获取得到用户的密码信息,会导致数据的不安全。
    2. 拿到临时授权的code之后,为什么不能把它当Access Token呢?而要通过再次去请求开放平台?因为临时code是不安全的,如果用户在第一步骤登录成功后,开放平台直接把Access Token传递过来,那么第三方开发者就不能验证拿到的这个AccessToken是否是合法的。

你可能感兴趣的:(转载和积累系列 - 关于Oauth2.0认证授权体系)