OAuth的授权不会使用第三方触及到用户的帐号信息(如用户密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全的。
OAuth的作用:就是让“客户端”安全可控的获取“用户”的授权,与“服务商”进行互动。
OAuth2.0的处理流程主要分为 四个步骤:
1、得到授权码code
2、利用 code 获取 access token
3、通过 access token ,获取 Openid
4、通过 Openid 和 access token 调用 API,获取用户授权信息
如不太清楚可看图(此图是借用网上的)
第一步:首先直接跳转到用户授权地址,提示用户进行登录,并给予相关资源授权,得到唯一的Auth code。(注意此code只有10分钟的有效期)
第二步:得到授权 code 后,这一步就是请求 access token ,通过请求 access token 地址,生成得到数据 Token(注意 token 每天获取最多2000次, token 的有效期是两个小时左右 。可通过缓存设置1个小时获取一次)
第三步:通过 access token 请求 Openid ,Openid是用户在此平台的唯一标识。
第四步:通过 access token 和 Openid 及相关API,进行请求,获取用户授权资源信息。
完成后就能够得到用户的信息!