一.oauth2.0流程
oauth2.0支持多种模式,本文讲解授权码模式流程原理及第三方系统对接开发方式
oauth2.0支持方式有:
(1)授权码模式(authorization code)
(2)简化模式(implicit grant type)
(3)密码模式(Resource Owner Password Credentials Grant)
(4)客户端模式(Client Credentials Grant)
详情参考:https://www.cnblogs.com/xiaofengwang/p/11376881.html
二.授权码模式
2.1授权流程:
1)得到授权码code,(前提条件:在outh服务上注册应用,拿到client_id,secret等信息)
2)根据授权码code 获取access token
3)通过access token调用API,获取用户信息
2.2 OAUTH提供的部分接口:
1.2.1 提供注册接口:分配来注册的app clientid,sericet
1.2.2 根据client-id,secret信息获取 access code
1.2.3 根据access code获取 access token
1.2.4 携带有效access token 获取用户信息
2.3三方后台对接开发调用流程方案之一
| 步骤 | 用户前台 | 用户后台 | oauth server | 说明 |
| 1 | 1.1调用用户api 请求三方登录,携带重定向url为用户前台 | 1.2接收请求 | 拿token阶段 | |
| 2 | 2.1返回重定向到oauth登录页,response_type=code,携带重定向地址为用户前台,等信息 | 2.2验证oauth用户名密码登录成功;返回access code重定向到用户前台 | ||
| 3 | 3.1前台携带code参数,请求用户后台 | 3.2后台根据code参数,请求oauth获取access token | 3.3检查access code有效性,返回token | |
| 4 | 4.1拿到token返token及自定义类型type = oauth给前台 | |||
| 5 | 5.1前台携带token 及类型字段 访问后台业务api | 5.2后台根据类型字段type及token访问对应的oauth服务器进行token 有效性校验 | 5.3校验token,返回结果 | 校验token阶段 |
| 6 | 6.1校验通过,判断用户处于正常登录状态,正常访问api | |||
| 7. | 7.1 调用退出当前用户接口 | 7.2 接收请求,判断属于oauth 用户则调用oauth退出接口 | 7.3接收请求,根据提供的token退出当前登录的用户 |
说明:
1. 4.1为什么要加一个类型字段?
因为用户系统有自己的生成token管理,也可能不止对接一个三方验证系统,根据类型字段type标记当前应该走哪个验证token系统。
2. 三方验证的用户与用户系统的权限绑定怎么做?
需要在4.1中增加步骤:在用户系统中创建oauth用户及默认分配的权限信息
3. 步骤7中oauth登录状态与用户系统的登录状态绑定,可以做到按需不绑定,个人认为常规应该绑定
三.怎么使用
需要在auth server服务商注册自己的应用
需提供访问首页,回调api #这两个地址是在验证完和验证过程中需要被调用的
注册完后:auth server 会分配给你一个clientid,secriet #在用户向auth server发送请求时需要携带
说明:
以上仅个人一个开发需求中的实现方式,可根据oauth提供的接口按需自定义不同的实现方式,达到不同的效果
弊端:
使用三方验证每个请求到达后端时都需要走网络请求到验证服务器,验证token是否有效,增加了请求的流程,增加耗时
参考:
http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html
http://www.ruanyifeng.com/blog/2019/04/github-oauth.html
https://tools.ietf.org/html/rfc6749#section-4.2.2
https://www.cnblogs.com/xiaofengwang/p/11376881.html