1. 运行流程和授权模式
关于 OAuth 2.0 的运行流程(来自 RFC 6749):
这里我们模拟一个场景:用户听落网,但需要登录才能收藏期刊,然后用快捷登录方式,使用微博的账号和密码登录后,落网就可以访问到微博的账号信息等,并且在落网也已登录,最后用户就可以收藏期刊了。
结合上面的场景,详细说下 OAuth 2.0 的运行流程:
(A) 用户登录落网,落网询求用户的登录授权(真实操作是用户在落网登录)。
(B) 用户同意登录授权(真实操作是用户打开了快捷登录,用户输入了微博的账号和密码)。
(C) 由落网跳转到微博的授权页面,并请求授权(微博账号和密码在这里需要)。
(D) 微博验证用户输入的账号和密码,如果成功,则将 access_token 返回给落网。
(E) 落网拿到返回的 access_token,请求微博。
(F) 微博验证落网提供的 access_token,如果成功,则将微博的账户信息返回给落网。
图中的名词解释:
Client -> 落网
Resource
