授权:(我们使用的方式以红色突出显示,别的可以作为了解)
1、 目前淘宝OAuth2.0服务支持采用以下4种获取AccessToken(授权令牌)的方式:
· Server-side flow此流程要求ISV应用有Web Server应用,能够保存应用本身的密钥以及状态,可以通过https直接访问淘宝的授权服务器。
· Client-side flow 此流程适用于没有独立服务器的应用,但是能够借助浏览器或者JS脚本访问授权服务器。
· Native Application 此流程适合客户端应用,同时应用无法与浏览器交互,但是可以外调用浏览器。
· Refreshing an Access Token 用户如果在获取访问令牌时,同时获取到了刷新令牌,当访问令牌过期时,用户可以用刷新令牌刷新,从而延长访问令牌的时间。
2、 redirect_uri及callback定义规则
· redirect_uri指的是应用发起请求时,所传的回调地址参数,在用户授权后应用会跳转至redirect_uri。
· callback指的是应用注册时填写的回调地址链接或者网站接入时所验证的域名地址。
· 相关的规则是:
(1)对于Server-side flow,redirect_uri是必选参数,并且要求redirect_uri与callback的顶级域名一致。
(2)对于Client-sideflow,redirect_uri是可选参数,如果传了redirect_uri,则相应的中间参数会返回到redirect_uri,并且要求redirect_uri与callback的顶级域名一致,如果没有传redirect_uri,则不做校验,返回相应的中间参数到淘宝默认授权返回页面。
(3)在不可预知错误的情况下,返回到默认错误页面。
3、 View参数为以下可选值:
· view参数可选值有:web、tmall、wap,其中:
n Web对应普通的PC端(淘宝logo)浏览器页面样式。
n Tmall对应天猫的浏览器页面样式。
n Wap对应无线端的浏览器页面样式。
4、 Access Token
· AccessToken即用户授权后颁发的session key(每次登陆都会改变,有效期一般为24小时)
5、 Server-sideflow(服务端流程)
此流程需要您有自己的web服务器,能够保存应用本身的密钥以及状态,可以通过https直接访问淘宝的授权服务器。
授权过程分为两个步骤:
(1) 通过用户授权获取授权码code;(获取授权码: https://oauth.taobao.com/authorize )
(2) 用上一步获取的code和应用密钥(appSecret,这个是向淘宝申请的)通过POST方式换取token。(获取访问令牌: https://oauth.taobao.com/token )
下面是一些参数说明:
整个授权过程大概就是这样,这里我只是将一些我用到的摘取出来了,淘宝官方的说明文档更详细一些,如果有人用到了相同的流程,有什么问题可以交流。