1、什么是OAuth2.0协议?
OAuth2.0(Open Authorization 2.0,开放授权)协议是一个开放标准,允许第三方应用在用户授权的前提下,访问用户在服务商那里存储的各种信息。
这种授权方式无需将用户账号和密码提供给第三方应用(软件/网站),即某一服务商注册用户在使用其他第三方应用时,该第三方应用不会知道该用户在其服务商中所设置的密码等信息。
OAuth2.0使服务商提供一个访问令牌给第三方应用,一个访问令牌唯一对应一个第三方应用,同时该令牌只能在特定的时间内访问特定的资源。
2、OAuth2.0授权原理
2.1、OAuth2.0认证和授权所涉及的三方:
服务商(resource server):用户使用服务的提供方,一般存储着用户相关数据(账号/密码、用户所发表的消息、图片、视频等),资源服务器;
用户(resource owner):服务商的用户,资源所有者;
第三方应用(client):软件/网站,它想要访问用户存储在服务商那里的信息;
2.2、OAuth2.0认证和授权过程:
(1) 第三方应用想访问用户存储在其服务商那里的资源,必须先征得用户授权同意;
(2) 第三方应用向该服务商发送一个用于获取用户授权的请求,请求中通常包括client_id(该第三方应用唯一身份证号,用于服务商验证该第三方应用的身份信息)、redirect_uri(授权过后回调地址,即用户同意授权后加载哪个页面。能出现该回调页面,说明获取授权成功);
(3) 服务商接收到该请求后,返回响应。
(4) 第三方应用加载该响应将用户引导至服务商的授权页面;
(5) 用户在该授权页面输入自己的账号/密码,点击“登录”或"授权并登录"(这里会有授权时注意事项),就表示用户同意授权该第三方应用;
(6) 服务商发现用户同意授权第三方应用后,返回一个授权码(authorization_code,又被称为requestToken)给第三方应用。
(7) 第三方应用使用该授权码及其他相关参数(client_id、client_secrect、grant_type(新浪微博开发平台要求写上authorization_code即可,注意:不是authorization_code的值)、redirect_uri等)向服务器发送请求以换取AccessToken(访问令牌);
(8) 服务商接收到该请求后返回AccessToken给第三方应用;
(9) 第三方应用使用该AccessToken访问用户在其服务商那里所存储的对应资源。
3、基于OAuth2.0的认证和授权第三方应用的过程(以新浪微博为例):
3.1、添加应用:
(1) 进入新浪微博开放平台(http://open.weibo.com/),注册成为开发者。
点击“微连接”-“移动应用”-“立即接入”-“继续创建”,填好“应用名称”,选择“应用分类”,选择“应用平台”,勾选“我已阅读并接受《微博开发者协议》”,点击“创建”。
(2) 来到“应用基本信息”页面,填写所有必填项。
Apple ID就是花钱注册的苹果开发者账号,如果你有,就直接填上好了;如果你当前没有,可以先填个假的也行。(格式要正确)
Bundle ID 需要和工程设置保证一致(实践证明这里可以随便填):
(3) 填完必填项之后,点击“保存以上信息”即可获得新浪微博开放平台发来的电邮,内含App Key和App Secret
(这两项很重要,这样您的应用才能正常使用微博iOS SDK授权和回调。如果没有设置,进行授权时就出现-100号的错误。实践证明,一来到“应用基本信息”页面,即有了微博开放平台为该应用所分配的App Key和App Secret)。
(4) 再编辑“高级信息”(“应用信息”-“高级信息”),填写“授权回调页”。
授权回调页非常重要,一定要填写正确(应用开发时,可填写https://www.baidu.com)。
当用户授权成功后,会回调到此页面,接着传回一个"code"参数,开发者可用该code换取AccessToken值。
如授权过后,返回的形式:
https://www.baidu.com/?code=110ae2834f53bae2f184b8d0be65a155
我们只需要获取其中code的值110ae2834f53bae2f184b8d0be65a155即可。每次授权后,code的值都会发生变化。
3.2、引导用户授权
(1) 引导用户到新浪微博授权页面:
https://api.weibo.com/oauth2/authorize?client_id=YOUR_CLIENT_ID&response_type=authorization_code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&display=mobile
HTTP请求方式: GET/POST
请求参数:
client_id:字符串,申请应用时分配的AppKey,必填;
redirect_uri:字符串,授权回调地址,即用户点击授权过后加载哪个页面。站外应用需与设置的回调地址一致,站内应用需填写canvas page的地址,必填;
display:授权页面的终端类型,非必填;默认是适用于web浏览器,可以传入参数:mobile(手机客户端),wap(非智能手机客户端),client(PC客户端)。
(2) 获取code值
用户授权过后,会来到授权回调页面,表明授权成功,同时会返回一个url:https://www.baidu.com/?code=3017b50da1ad1e4faa2c355b1eb753f8 截取“code=”后面的值,即为authorization_code值(又被称为requestToken)。
截取code值的相关代码:
NSString *urlStr = request.URL.absoluteString;
// 查找code=范围
NSRange range = [urlStr rangeOfString:@"code="];
if (range.length != 0) {
// 如果length不为0,说明已经跳到回调地址,说明授权成功了
NSUInteger index = range.location + range.length;
NSString *requestToken = [urlStr substringFromIndex:index];
__block __typeof(self)weakSelf = self;
dispatch_async(dispatch_get_global_queue(QOS_CLASS_UTILITY, 0), ^{
// 用requestToken换取accessToken
[weakSelf getAccessToken:requestToken];
});
}
(3) 使用授权过后的authorization_code换取AccessToken
开发者可以利用以下URL和参数来获取AccessToken:
https://api.weibo.com/oauth2/access_token
HTTP请求方式:POST
请求参数:
client_id:字符串,申请应用时分配的AppKey;
client_secret:字符串,申请应用时分配的AppSecret;
grant_type:字符串,请求的类型,填写authorization_code;
code:字符串,授权成功后返回的code值;
redirect_url:字符串,授权成功后的回调地址,需与注册应用里的所填回调一致。
将所有参数都传对,就可获得服务商服务器返回的JSON数据:
{
"access_token" = "ACCESS_TOKEN";
"expires_in" = 157679999;
"remind_in" = 157679999;
uid = 5516588193;
}
使用JSON[@"access_token"]即可获得AccessToken字符串。
将AccessToken存储起来,访问微博所有的API时直接用该AccessToken即可。
expires_in是AccessToken的生命周期,单位:秒,表示AccessToken有一定的有效期。该秒数一过完,第三方应用就必须重新获取用户授权,即重新获取AccessToken。