欢迎各位兄弟 发布技术文章

这里的技术是共享的

You are here

结合微信公众号授权理解OAuth2.0

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 

因为公司的SSO是基于OAuth2.0协议进行开发的,所以学习了阮一峰理解OAuth2.0 这篇文章,讲的非常详细,其中的授权流程让我想起以前曾经做过的公众号开发授权流程,现在结合公众号授权流程理解OAuth2.0协议

一、应用场景

我曾经开发的一个网站,用来读取用户的微信个人信息。 
问题是只有得到用户的授权,我们才能通过微信来读取用户的个人信息。那么,怎样获得用户的授权呢?

能想到的问题: 
1、用户不可能在我们的网站中输入密码等关键信息 
2、微信有对外提供部分信息授予接口

查询微信公众号开发文档,它的授权过程就是遵循OAuth2.0协议的。

二、名词定义

(1)第三方应用程序,指的是本人开发的网站,这里称为myapp。 
(2)HTTP service:服务提供商,指的是微信。 
(3)Resource Owner:资源所有者,本文中又称”用户”。 
(4)User Agent:用户代理,本文中就是指浏览器。 
(5)Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。 
(6)Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。 
知道了上面这些名词,就不难理解,OAuth的作用就是让”客户端”安全可控地获取”用户”的授权,与”服务商提供商”进行互动。

三、OAuth的思路

OAuth在myapp与微信之间,设置了一个授权层(authorization layer)。myapp不能直接登录微信,只能登录授权层,以此将用户与myapp分开来。myapp登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。 
myapp登录授权层以后,微信可以根据令牌的权限范围和有效期,向myapp开放用户储存的资料。

这里写图片描述

四、授权模式

1、授权码模式(authorization code) 
常用,微信也是使用授权码模式,第五点详细分析

2、简化模式(implicit) 
与授权码模式大致相同,只是少了一个步骤,详看阮一峰理解OAuth2.0

3、密码模式(resource owner password credentials) 
不谈,指的是向用户索取密码

五、授权码模式

步骤:

(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
  • 1
  • 2
  • 3
  • 4
  • 5

图解: 
这里写图片描述

例子: 
公众号api
来自   http://blog.csdn.net/hayre/article/details/58608242
 

普通分类: