1、介绍
2、举一个栗子
当我们要访问一个网站的时候一般都会有微信、QQ登陆。这种第三方授权登陆就是OAuth2.0要干的活。比如美团点评的校招网站。这个是需要微信登陆的。
流程:
(1)客户端请求第三方授权
用户进入美团程序的登录页面,点击微信的图标以微信账号登录系统,用户是自己在微信里信息的资源拥有者。
(2)资源拥有者同意给客户端授权
资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者(我)的身份进行验证, 验证通过后,微信会询问用户是否给授权美团访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会 颁发一个授权码,并重定向到美团的网站。
(3)客户端获取到授权码,请求认证服务器申请令牌
此过程用户看不到,客户端应用程序请求认证服务器,请求携带授权码。
(4)认证服务器向客户端相应授权
微信认证服务器验证了客户端请求的授权码,如果合法则给客户端颁发令牌,令牌是客户端访问资源的通行证。 此交互过程用户看不到,当客户端拿到令牌后,用户在美团看到已经登录成功。
(5)客户端请求资源服务器的资源
客户端携带令牌访问资源服务器的资源。 美团网站携带令牌请求访问微信服务器获取用户的基本信息。
(6)资源服务器返回受保护的资源
资源服务器校验令牌的合法性,如果合法则向用户响应资源信息内容。
再来看一张图:
这是官方的一张图:
OAauth2.0包括以下角色:
(客户端):本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏 览器端)、微信客户端等。
(资源拥有者):通常为用户,也可以是应用程序,即该资源的拥有者。
(授权服务器):用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌 (access_token),作为客户端访问资源服务器的凭据。本例为微信的认证服务器
(资源服务器):存储资源的服务器,本例子为微信存储的用户信息。 现在还有一个问题,服务提供商能允许随便一个客户端就接入到它的授权服务器吗?答案是否定的,服务提供商会 给准入的接入方一个身份,用于接入时的凭据: client_id:客户端标识 client_secret:客户端秘钥 因此,准确来说,授权服务器对两种OAuth2.0中的两个角色进行认证授权,分别是资源拥有者、客户端。
也就是说美团点评必须要在微信那“注册”,获取一个cliend_id和cliend_secret。