我在了解设计Restful接口的时候,发现涉及到接口验证,可以利用OAuth2.0机制来验证。
我开发的微信端Web网页通过微信授权的时候,微信端也是用OAuth2.0机制来获取用户基本信息。
OAuth2.0
有四种授权模式:授权模式(微信)、简化模式(前者简化版)、密码模式、客户端模式。授权模式(微信)
开发的微信端Web应用可以利用通过微信来获取用户基本信息,这样就免了用户去注册登录的繁杂步骤,只用点击微信的授权页面就能登录。用户仅仅需要点击授权,Web应用就能通过微信拿到用户的微信基本信息,大大提高用户体验。步骤
简化的步骤:Web后端拿到access_token,通过access_token去跟微信拿到用户信息。所以关键是如何能够拿到access_token。1. 用户授权"https://open.weixin.qq.com/connect/oauth2/authorize?"+ "appid=APPID&" // 代表你公众号+ "redirect_uri=REDIRECTURL&" // 处理Code的URL地址+ "response_type=code&" + "scope=SCOPE&" // 要拿到用户的基本微信(需要授权)还是只拿到用户的openid+ "state=STATE&connect_redirect=1#wechat_redirect"; // state 参数用来验证 防止csrf(跨站请求伪造)攻击这是微信官方页面,会出现授权按钮。2. 获取access_token一旦用户在上述页面点击了授权,那么微信就会把code参数和state参数传输到我们redirect_uri后端。拿到state参数可用于验证,从而防止cstf。重点在于code参数的利用。"https://api.weixin.qq.com/"+ "sns/oauth2/access_token?"+ "appid=APPID&"+ "secret=SECRET&"+ "code=CODE&"+ "grant_type=authorization_code";然后再通过微信的接口,发送我们的appid和appsecret以及code,然后就能拿到access_token和授权用户的openid。3. access_token和openid通过access_token和openid 我们就能通过微信官方接口来获取授权用户的基本信息。为什么access_token和openid就能拿到用户信息
1. 在微信官方页面,用户点击了授权(用户同意)2. appsecret只有我们本身Web应用和微信才知道,同时redirect_uri也是登记在微信公众平台(Web应用的正确性)
