OAuth流程主要包括以下幾個步驟:
套用使用者請求套用。當用戶嘗試使用第三方套用時,該套用會引導用戶跳轉到開放平台的授權頁面。
套用引導用戶至授權頁面。套用重定向用戶到開放平台的授權伺服器,進行登錄和許可權授予。
用戶進行登錄和授權。用戶在授權頁面進行登錄,並選擇允許套用訪問的用戶信息範圍。
獲取授權碼。如果用戶同意授權,授權伺服器會返回一個授權碼(Code),該碼代表了用戶的授權許可權。
重定向回套用。用戶完成授權後,授權伺服器將用戶重定向回套用,並附帶授權碼。
請求訪問令牌。套用使用授權碼向開放平台的認證伺服器請求訪問令牌(Token)和可選的刷新令牌(Refresh Token)。此過程通常需要套用的後端伺服器參與,並使用套用的客戶端ID和秘密。
訪問受保護的資源。一旦套用獲得了訪問令牌,它就可以使用該令牌訪問開放平台提供的受保護資源。在訪問資源時,通常需要驗證令牌的有效性。
使用刷新令牌。如果訪問令牌過期,可以使用刷新令牌從認證伺服器獲取新的訪問令牌。
這個流程涉及三個主要角色:用戶、套用和認證伺服器。用戶通過認證伺服器進行登錄和授權,而不是直接在套用中登錄。認證伺服器負責驗證用戶的身份,並授予或拒絕許可權。