交互模型
交互模型涉及三方:
- 資源擁有者:用戶
- 客戶端:APP
- 服務(wù)提供方:包含兩個(gè)角色
- -認(rèn)證服務(wù)器
- -資源服務(wù)器
認(rèn)證服務(wù)器
認(rèn)證服務(wù)器負(fù)責(zé)對(duì)用戶進(jìn)行認(rèn)證,并授權(quán)給客戶端權(quán)限。認(rèn)證很容易實(shí)現(xiàn)(驗(yàn)證賬號(hào)密碼即可),問題在于如何授權(quán)。比如我們使用第三方登錄 "有道云筆記"稚伍,你可以看到如使用 QQ 登錄的授權(quán)頁面上有 "有道云筆記將獲得以下權(quán)限" 的字樣以及權(quán)限信息
認(rèn)證服務(wù)器需要知道請(qǐng)求授權(quán)的客戶端的身份以及該客戶端請(qǐng)求的權(quán)限。我們可以為每一個(gè)客戶端預(yù)先分配一個(gè) id,并給每個(gè) id 對(duì)應(yīng)一個(gè)名稱以及權(quán)限信息碌宴。這些信息可以寫在認(rèn)證服務(wù)器上的配置文件里。然后蒙畴,客戶端每次打開授權(quán)頁面的時(shí)候贰镣,把屬于自己的 id 傳過來呜象,如:
http://www.xxm.com/login?client_id=yourClientId
隨著時(shí)間的推移和業(yè)務(wù)的增長(zhǎng),會(huì)發(fā)現(xiàn)碑隆,修改配置的工作消耗了太多的人力恭陡。有沒有辦法把這個(gè)過程自動(dòng)化起來,把人工從這些繁瑣的操作中解放出來上煤?當(dāng)開始考慮這一步休玩,開放平臺(tái)的成型也就是水到渠成的事情了。
oAuth2 開放平臺(tái)
開放平臺(tái)是由 oAuth2.0 協(xié)議衍生出來的一個(gè)產(chǎn)品劫狠。它的作用是讓客戶端自己去這上面進(jìn)行注冊(cè)拴疤、申請(qǐng),通過之后系統(tǒng)自動(dòng)分配 client_id 独泞,并完成配置的自動(dòng)更新(通常是寫進(jìn)數(shù)據(jù)庫)呐矾。
客戶端要完成申請(qǐng),通常需要填寫客戶端程序的類型(Web阐肤、App 等)凫佛、企業(yè)介紹、執(zhí)照孕惜、想要獲取的權(quán)限等等信息愧薛。這些信息在得到服務(wù)提供方的人工審核通過后,開發(fā)平臺(tái)就會(huì)自動(dòng)分配一個(gè)client_id給客戶端了衫画。
到這里毫炉,已經(jīng)實(shí)現(xiàn)了登錄認(rèn)證、授權(quán)頁的信息展示削罩。那么接下來瞄勾,當(dāng)用戶成功進(jìn)行授權(quán)之后,認(rèn)證服務(wù)器需要把產(chǎn)生的 access_token發(fā)送給客戶端弥激,方案如下:
- 讓客戶端在開放平臺(tái)申請(qǐng)的時(shí)候进陡,填寫一個(gè) URL,例如:http://www.baidu.com
- 每次當(dāng)有用戶授權(quán)成功之后微服,認(rèn)證服務(wù)器將頁面重定向到這個(gè) URL(回調(diào))趾疚,并帶上
access_token,例如:http://www.baidu.com?access_token=123456789 - 客戶端接收到了這個(gè)
access_token以蕴,而且認(rèn)證服務(wù)器的授權(quán)動(dòng)作已經(jīng)完成糙麦,剛好可以把程序的控制權(quán)轉(zhuǎn)交回客戶端,由客戶端決定接下來向用戶展示什么內(nèi)容
