随着移动互联网的快速发展,越来越多的应用开始采用第三方登录的方式进行用户身份验证,基于OAuth2.0协议的第三方登录也逐渐成为了主流。本文将介绍app服务端开发第三方登录的流程,包括OAuth2.0协议的基本理念、授权码模式和简化模式,以及对应的开发流程和注意事项。
OAuth2.0协议的基本理念
Open Authorization(开放授权)2.0(OAuth2.0)是一个授权框架,是基于HTTP协议的一种安全认证标准。其核心思想是在不泄露用户登录凭证的情况下获取用户授权,我们可以通过OAuth2.0认证框架来实现用户在第三方应用和用户授权的机制,而授权核心理念,即授权访问所需的用户资源,主要依靠AccessToken(访问令牌)。
授权码模式
1. 应用申请授权并获取授权码
当用户在app内打开第三方登录授权页面,用户输入自己的登录账户和密码后,第三方后台会向授权服务器发送HTTP请求,通知授权方授权该应用。授权服务器验证用户身份,并向用户请求确认授权。如果用户同意授权,则授权服务器将向第三方应用发放授权码。第三方应用将在后面的请求中使用该授权码以请求AccessToken。
2. 第三方应用通过授权码获取AccessToken
当第三方应用获得授权码后,需要通过向授权服务器发送HTTP请求来获取AccessToken。
请求格式:
POST {token_uri}
Authorization: Basic {Base64(client_id:client_secret)}
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
grant_type=authorization_code&code={code}&redirect_uri={redirect_uri}
请求参数:
token_uri:授权服务器URL.
basic_auth:客户端注册后获得的client_id和client_secret组成的字符串.
grant_type:一定为authorization_code.
code:授权服务器发出的授权码.
redirect_uri:授权码请求时回调地址.
3. 第三方应用使用AccessToken访问用户资源
当第三方应用获得了AccessToken后,可以使用该Token访问用户资源了。当请求带上AccessToken,授权服务器会验证AccessToken是否有效,并从身份认证服务器获取用户信息。
简化模式
简化模式主要应用于移动应用(app)中,因为对于app来说,客户端很难确保授权码的机密性,因此不能直接跟授权服务器交互。简化模式是通过在客户端上使用浏览器重定向来解决这个问题的。
1. 应用申请授权
当用户在app内点击第三方登录按钮,客户端通过浏览器重定向并附加响应类型(code)的参数,跳转到授权服务器的认证页面。
2. 用户授权
用户在授权页面提供登录凭据并授权访问他的数据。一旦授权成功,用户将被重定向回客户端。
3. 第三方应用访问API
一旦授权码被交到客户端中,客户端将使用授权码向授权服务器请求访问令牌。
4. 从授权服务器请求访问令牌
最后,客户端使用从授权服务器获取到的Access Token来访问第三方API。
开发流程
1. 在第三方认证服务商注册,获取ClientId和Client Secret。
2. 在自己的应用中,开发授权页面和授权回调页面。并且向第三方认证服务商申请授权。
3. 第三方认证服务商确定用户同意授权之后,会跳转到上面的授权回调页面,并且会把授权的结果参数塞到回调URL的后面。识别参数中的访问令牌,并使用这些参数来构造API调用,在自己的应用中完成第三方登录。
注意事项
1. 在使用OAuth 2.0第三方登录时,必须合理处理用户授权的范围,保证数据安全。
2. 在开发过程中,应该充分的测试所有的异常情况,并且采取一些应对措施来保障用户体验。
3. 要注意授权码和AccessToken的有效期设置,避免过期失效。
4. 避免通过明文方式发送敏感信息,应尽量使用SSL/TLS协议来保障数据安全。