oauth2在获取access_token之前,一定要先获取code,主要是因为安全原因:
- code需要设置过期时间,一般设置的过期时间非常短,如10分钟等,用户需要在短时间内通过code换取access_token,避免code被第三方拦截。当然,即便这种情况会发生,但因为code的过期时间非常短,也在一定程度上进行了保护,但这肯定不是完全安全的
- 授权成功后,code是会直接显示在浏览器上的,如果不通过code换取access_token,而是直接返回access_token,那access_token会被暴露出来,而code换取access_token是直接通过oauth服务器进行换取的,不依赖浏览器,access_token不会暴露出去。
前提是,你先在oauth服务器上进行了注册,得到了client_id和app_secret,请求时,不仅需要发送code,还需要发送client_id,oauth服务器会对client_id进行判断,是否已经进行了注册
当然,OAuth2还是允许直接返回access_token,而不经过code换取,查看 RFC6749,可以看到,oauth2一共有四种模式:
第一种:
- 首先用户在客户端上点击要用哪个系统的OAuth2来认证,此时客户端附上回调地址
- 用户在OAuth2服务器上选择是否授权用户给予授权,OAuth2服务器重定向到第一步给定的回调地址,同时附上 Authorization Code,
- 回调地址所在服务器带上 Authorization Code和client_id,向OAuth2服务器申请 access_token 和 refresh_token,可通过这两个token去换取资源
- OAuth2服务器返回 access_token 和 refresh_token
第二种:
- 用户在客户端上点击要哪个系统的OAuth2来认证,此时客户端附上回调地址
- 用户在OAuth2服务器上选择是否授权
- 用户给于授权,OAuth2服务器重定向到第一步给定的回调地址,并且附上 access_token 和 refresh_token
第三种: 用户直接输入用户名和密码,这种情况针对自家的APP或者100%信任的APP可以这么干
第四种: 客户端自带认证,用户向客户端认证就可以