一、OAuth2.0是什么,主要做什么用的?
官方注解
简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。
白菜话
小明要访问我的网站,我想要保留用户的数据和操作保留粘黏性,所以我想要小明注册,然而小明很懒不想填写姓名邮箱什么的资料,顾客是上帝嘛,于是我就跟小明商量,咱们用你的qq账号登录好不好?小明同意了。然后我就跟qq客服申请了开通了授权登录(qq这么大平台为什么鸟我呢?因为授权登录对他来说没有损失什么,而且增加了qq对用户的粘黏性),小明点击登录的时候,我给他一个选项,使用qq账号登录,小明点击之后,我就把页面跳转到qq登录页面,要带着我跟qq申请的授权的商户id,小明登录他的qq号之后,qq再把页面跳转到我的网站,带着用户登录授权的凭证,我获取到凭证,去qq的服务器获取小明的信息,记录到我的服务器上,作为小明的登录凭证并且显示在小明的界面上。小明省了注册的麻烦,我获取了小明的信息,大家都很happy。
二、OAth2.0授权的四种方式
- 授权码(authorization-code)
- 隐藏式(implicit)
- 密码式(password):
- 客户端凭证(client credentials)
1 咱们继续小明授权的这个事,继续说。我是一个前端显示,后端服务器显示的网站,并且对于qq是最低级的商户,不是很信任我。所以我们之间的方式是授权码方式,授权方式基本分为三步
这里贴个图,大概了解下,后面配详细说明
a 获取授权码(这里注意的是这里是需要提前到qq的开发者平台申请商户id,并且用户需要在qq登录)
这里的请求是一个get请求,需要添加
response_type 请求目的
client_id 申请的商户id
state 自定义的csrf_token 用于回调验证(就是保证回调函数是我访问触发的,避免黑客模拟回调攻击接口)
http://qq.xxx.com/oauth/get-code?
response_type=code
&client_id=1
&state=xyz
b 请求令牌(之后就不需要小明操作了,我会直接跟qq交流获取令牌)
这里服务器之间的交互了,一般使用post请求
http://qq.xxx.com/api/oauth/get-token 参数 grant_type 必填 请求类型 authorization_code client_id 必填 三方授权id testid client_secret 必填 三方授权秘钥 XXXXXXXXXX code 必填 上一步获取的code
c 获取用户信息(获取令牌后我就会用令牌获取小明的qq部分授权信息,2、3步骤对用户无感,因为很快很快)
使用token获取用户信息 http://qq.xxx.com/api/oauth/get-user-info?access_token=b2d91c2764bdde79e4f1e92349b969e8ee031e8a
参数 access_token 上一步获取的token
2 如果我的网站是个大网站比如新浪微博,那么qq就不能这么对待我了,就不要什么code,而且大网站之间的交互量很大,要节约资源,所以就可以省下获取code这一步。这种方式叫做隐藏式(为什么这么叫呢,不知道也不敢问,反正翻译过来就这样)
a 请求令牌,使用get方式
https://api.mysite.com/authorize? response_type=token &client_id=TestClient &redirect_uri=https://myredirecturi.com/cb 参数 response_type 必填 请求类型 token client_id 必填 三方授权id redirect_uri 必填 回调跳转的url(一般都是在申请的时候设置的,发送之后qq会跟申请时候填写的url核对)
b 获取用户信息
使用token获取用户信息
http://qq.xxx.com/api/oauth/get-user-info?access_token=b2d91c2764bdde79e4f1e92349b969e8ee031e8a
参数
access_token 上一步获取的token
3 我跟微博都是外部网站,要走授权这一步,如果是腾讯内部的网站呢,比如 lol,都是亲兄弟跳转qq登录界面,增加用户操作复杂度不是么?,直接用qq账号密码上了,这种方式叫做密码式
a 请求令牌
这里是服务器之间的交互了,一般使用post请求
http://qq.xxx.com/api/oauth/get-token grant_type=password&username=bshaffer&password=brent123 参数 grant_type 必填 请求类型 password client_id 必填 三方授权id lol client_secret 必填 三方授权秘钥 XXXXXXXXXX username 必填 用户明 bshaffer password 必填 用户密码 brent123
b 获取用户信息
使用token获取用户信息 http://qq.xxx.com/api/oauth/get-user-info?access_token=b2d91c2764bdde79e4f1e92349b969e8ee031e8a
参数 access_token 上一步获取的token
4 某一天,网信办跟qq说,有人用qq贩卖违禁品,需要调取你的用户数据配合调查,qq吓的一机灵,赶紧提供了一个最大权限的特殊账户,网信办可以直接调取用户数据,不需要用户授权。
POST方式
http://qq.xxx.com/api/oauth/get-user-info
grant_type 必填 获取方式 client_credentials client_id 必填 商户id TestClient client_secret 必填 商户秘钥 TestSecret
到这里,四种授权方式基本就将的差不多了。各位可以根据甲方爸爸的需求选择自己需要的方式。我这里是使用OAuth 2.0 Server PHP 实现的的授权码方式授权,点击这里查看实现的代码。
参考文献
OAuth2.0 官方文档 https://oauth.net/2/
OAuth 2.0 Server PHP 官方文档 https://bshaffer.github.io/oauth2-server-php-docs/
OAuth2.0的一个简单解释 阮一峰 http://www.ruanyifeng.com/blog/2019/04/oauth_design.html
OAuth2.0的四种方式 阮一峰 http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html