共计 1242 个字符,预计需要花费 4 分钟才能阅读完成。
后面一篇文章钻研了 OAuth2.0 标准的工作原理,纸上得来终觉浅,明天就以纯手工的形式跑下整个流程。
本示例以 GitHub 提供的 OAuth2.0 受权服务来进行试验,所以你必须先有一个 GitHub 账号,而且没有被墙,试验的步骤如下:
- 注册 OAuth 客户端
- 获取
Authorization Code - 获取
Access Token - 应用
Access Token拜访资源
注册 OAuth 客户端
先登录 GitHub,顺次拜访 Settings->Developer settings->OAuth Apps,点击 New OAuth App
注册页面
注册后果
注册次要关注三个参数:
- Authorization callback URL: 获取
Authorization Code后的跳转地址 - Client ID:注册的客户端的惟一标识
- Client Secret:注册客户端的 Secret 信息
获取 Authorization Code
获取 Authorization Code 为 GET 申请,能够间接拼装 URL 后在浏览器间接拜访,地址如下:
https://github.com/login/oauth/authorize?client_id=9b4cxxxxxxx60b98cd21&redirect_uri=http://127.0.0.1:8000/oauth- 拜访后,先跳转到登录界面进行用户认证
- 认证后,间接进入受权确认页面
- 用户受权后,跳转到 redirect_uri 地址
http://127.0.0.1:8000/oauth?code=ccxxx92a0cef2c024dd2注:这个地址不肯定须要可拜访,间接跳 404 也能够,次要是要能获取这个 code 字段。
获取 Access Token
应用上述个步骤获取的 code,Client ID,Client Secret,因为这个是 Post 申请,所以须要借助 Postman 来发送(不过我测试了下,浏览器间接 GET 拜访也能够,会把返回数据当文件下载)。
获取 Access Token 的地址和参数如下:
地址:https://github.com/login/oauth/access_token
参数:client_id=xxx&client_secret=xxx&code=xxxPostman 截图如下:
留神:基于设计平安,每个 code 只能申请一次 Access Token,应用后就生效了。
应用 Access Token 拜访资源
以获取用户信息为例,获取用户信息 URL:
https://api.github.com/user在申请头中减少 Authorization 字段,值为Bearer access_token_value
Postman 截图如下:
以上就是简略的通过 OAuth2.0 协定拜访 GitHub 资源的过程,这个过程还是比较顺利的。
另外在应用过程中,发现 Postman 曾经集成了 OAuth2.0 的受权过程,在申请的 Authorization 页签中抉择 OAuth2.0,软件提供了一个填写 Get New Access Token 的表单。
