我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问令牌 >

理解OAuth20认证与客户端授权码模式详解

归档日期:08-14       文本归类:访问令牌      文章编辑:爱尚语录

  协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此

  OAuth本身不存在一个标准的实现,后端开发者自己根据实际的需求和标准的规定实现。其步骤一般如下:

  任何身份认证,本质上都是基于对请求方的不信任所产生的。同时,请求方是信任被请求方的,例如用户请求服务时,会信任服务方。所以,身份认证就是为了解决身份的可信任问题。

  在OAuth2.0中,简单来说有三方:用户(这里是指属于服务方的用户)、服务方(如微信、微博等)、第三方应用

  这样服务方,一可以确定第三方得到了用户对此次服务的授权(根据用户授权凭据),二可以确定第三方的身份是可以信任的(根据身份凭据),所以,最终的结果就是,第三方顺利地从服务方获取到了此次所请求的服务

  从上面的流程中可以看出,OAuth2.0完整地解决了用户、服务方、第三方在某次服务时这三者之间的信任问题

  授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器与服务提供商的认证服务器进行互动。

  token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。

  expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。

  refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。

  从上面代码可以看到,相关参数使用JSON格式发送(Content-Type: application/json)。此外,HTTP头信息中明确指定不得缓存。

  如果用户访问的时候,客户端的访问令牌access_token已经过期,则需要使用更新令牌refresh_token申请一个新的访问令牌。

  博主你好, 我问下 采用客户端认证的方式 能拿到 refresh_token 吗? 也就是说如果我的 access_token 过期后 如何去刷新呢? 难道说 又得重新去登录来进行刷新access_token吗?

  每个月,我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。

本文链接:http://shawntierney.com/fangwenlingpai/700.html