授权码许可类型的通信过程
间接通信
间接通信就是指获取授权码的交互。
我:“xx,我要访问你了。”
xx:“我把你引到授权服务,我需要授权服务给我一个授权码。”
授权服务:“xx,我把授权码发给浏览器了。”
小兔软件:“ 那我从浏览器拿到了授权码。”
xx和授权服务间,并无直接通信,而是通过中间人(浏览器).
直接通信
授权码换取访问令牌的交互,是“直接”的。
三方软件xx获取到授权码后,向授权服务发起获取访问令牌 access_token 的请求。
三方软件要代表资源拥有者去访问受保护资源
授权服务负责颁发访问令牌,受保护资源负责接收并验证访问令牌。
开发微信小程序场景
比如获取用户登录态信息的过程:
通过 wx.login(Object object) 获取登录凭证 code,该步是在小程序内部通过调用微信提供的 SDK 实现的
再通过该 code 换取用户的 session_key 等信息,即官方文档的 auth.code2Session 方法,同时该方法也是被强烈建议通过开发者的后端服务来调用
参考
https://leokongwq.github.io/2017/02/28/why-oauth2-use-authorization-code.html
https://developers.weixin.qq.com/miniprogram/dev/api-backend/open-api/login/auth.code2Session.html
https://segmentfault.com/q/1010000014642301
https://tools.ietf.org/html/rfc6749
