這篇文章主要講解了“OAuth2.0的四種授權(quán)方式是什么”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“OAuth2.0的四種授權(quán)方式是什么”吧！

為龍江等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及龍江網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站設(shè)計(jì)、成都網(wǎng)站設(shè)計(jì)、龍江網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

一、OAuth3.0 為何物二、OAuth3.0 授權(quán)方式

OAuth3.0四種授權(quán)中授權(quán)碼方式是最為復(fù)雜，但也是安全系數(shù)最高的，比較常用的一種方式。這種方式適用于兼具前后端的Web項(xiàng)目，因?yàn)橛行╉?xiàng)目只有后端或只有前端，并不適用授權(quán)碼模式。

下圖我們以用WX登錄掘金為例，詳細(xì)看一下授權(quán)碼方式的整體流程。

用戶選擇WX登錄掘金，掘金會(huì)向WX發(fā)起授權(quán)請(qǐng)求，接下來 WX詢問用戶是否同意授權(quán)（常見的彈窗授權(quán)）。response_type 為 code 要求返回授權(quán)碼，scope 參數(shù)表示本次授權(quán)范圍為只讀權(quán)限，redirect_uri 重定向地址。

https://wx.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=http://juejin.im/callback&
  scope=read

用戶同意授權(quán)后，WX 根據(jù) redirect_uri重定向并帶上授權(quán)碼。

http://juejin.im/callback?code=AUTHORIZATION_CODE

當(dāng)掘金拿到授權(quán)碼（code）時(shí)，帶授權(quán)碼和密匙等參數(shù)向WX申請(qǐng)令牌。grant_type表示本次授權(quán)為授權(quán)碼方式 authorization_code ，獲取令牌要帶上客戶端密匙 client_secret，和上一步得到的授權(quán)碼 code。

https://wx.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=http://juejin.im/callback

最后 WX 收到請(qǐng)求后向 redirect_uri 地址發(fā)送 JSON 數(shù)據(jù)，其中的access_token 就是令牌。

 {    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  ......
}

2、隱藏式

上邊提到有一些Web應(yīng)用是沒有后端的， 屬于純前端應(yīng)用，無法用上邊的授權(quán)碼模式。令牌的申請(qǐng)與存儲(chǔ)都需要在前端完成，跳過了授權(quán)碼這一步。

前端應(yīng)用直接獲取 token，response_type 設(shè)置為 token，要求直接返回令牌，跳過授權(quán)碼，WX授權(quán)通過后重定向到指定 redirect_uri 。

https://wx.com/oauth/authorize?
  response_type=token&
  client_id=CLIENT_ID&
  redirect_uri=http://juejin.im/callback&
  scope=read

3、密碼式

密碼模式比較好理解，用戶在掘金直接輸入自己的WX用戶名和密碼，掘金拿著信息直接去WX申請(qǐng)令牌，請(qǐng)求響應(yīng)的 JSON結(jié)果中返回 token。grant_type 為 password 表示密碼式授權(quán)。

https://wx.com/token?
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID

這種授權(quán)方式缺點(diǎn)是顯而易見的，非常的危險(xiǎn)，如果采取此方式授權(quán)，該應(yīng)用一定是可以高度信任的。

4、憑證式

憑證式和密碼式很相似，主要適用于那些沒有前端的命令行應(yīng)用，可以用最簡單的方式獲取令牌，在請(qǐng)求響應(yīng)的 JSON 結(jié)果中返回 token。

grant_type 為 client_credentials 表示憑證式授權(quán)，client_id 和 client_secret 用來識(shí)別身份。

https://wx.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET

三、令牌的使用與更新1、令牌怎么用？

拿到令牌可以調(diào)用 WX API 請(qǐng)求數(shù)據(jù)了，那令牌該怎么用呢？

每個(gè)到達(dá)WX的請(qǐng)求都必須帶上 token，將 token 放在 http 請(qǐng)求頭部的一個(gè)Authorization字段里。

如果使用postman 模擬請(qǐng)求，要在Authorization -> Bearer Token 放入 token，注意：低版本postman 沒有這個(gè)選項(xiàng)。

2、令牌過期怎么辦？

token是有時(shí)效性的，一旦過期就需要重新獲取，但是重走一遍授權(quán)流程，不僅麻煩而且用戶體驗(yàn)也不好，那如何讓更新令牌變得優(yōu)雅一點(diǎn)呢？

一般在頒發(fā)令牌時(shí)會(huì)一次發(fā)兩個(gè)令牌，一個(gè)令牌用來請(qǐng)求API，另一個(gè)負(fù)責(zé)更新令牌 refresh_token。grant_type 為 refresh_token 請(qǐng)求為更新令牌，參數(shù) refresh_token 是用于更新令牌的令牌。

https://wx.com/oauth/token?
  grant_type=refresh_token&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET&
  refresh_token=REFRESH_TOKEN

感謝各位的閱讀，以上就是“OAuth2.0的四種授權(quán)方式是什么”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)OAuth2.0的四種授權(quán)方式是什么這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián)，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！

名稱欄目：OAuth2.0的四種授權(quán)方式是什么-創(chuàng)新互聯(lián)
標(biāo)題URL：http://aaarwkj.com/article26/pjicg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、搜索引擎優(yōu)化、關(guān)鍵詞優(yōu)化、自適應(yīng)網(wǎng)站、全網(wǎng)營銷推廣、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)