惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
博客园 - 三生石上(FineUI控件)
博客园 - 司徒正美
博客园_首页
J
Java Code Geeks
V2EX - 技术
V2EX - 技术
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
TaoSecurity Blog
TaoSecurity Blog
T
Troy Hunt's Blog
Forbes - Security
Forbes - Security
Schneier on Security
Schneier on Security
Hugging Face - Blog
Hugging Face - Blog
PCI Perspectives
PCI Perspectives
O
OpenAI News
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Hacker News: Ask HN
Hacker News: Ask HN
Application and Cybersecurity Blog
Application and Cybersecurity Blog
H
Heimdal Security Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
博客园 - 聂微东
量子位
酷 壳 – CoolShell
酷 壳 – CoolShell
大猫的无限游戏
大猫的无限游戏
WordPress大学
WordPress大学
美团技术团队
V
V2EX
Cisco Talos Blog
Cisco Talos Blog
小众软件
小众软件
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
C
Cybersecurity and Infrastructure Security Agency CISA
有赞技术团队
有赞技术团队
腾讯CDC
Cloudbric
Cloudbric
Google DeepMind News
Google DeepMind News
博客园 - 【当耐特】
SecWiki News
SecWiki News
IT之家
IT之家
C
Cisco Blogs
雷峰网
雷峰网
aimingoo的专栏
aimingoo的专栏
B
Blog RSS Feed
S
Schneier on Security
Security Latest
Security Latest
Scott Helme
Scott Helme
H
Help Net Security
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
P
Palo Alto Networks Blog
L
LINUX DO - 热门话题
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC

静水深流's blog

探索 SSE:服务器推送技术的魅力与应用 | 静水深流 图解DIFF算法介绍 | 静水深流 如何使用javascript实现复制出的文案带链接? | 静水深流 基于vuepress2搭建专属自己的博客,并集成各种常用功能 | 静水深流 听说你至今不晓得缓存淘汰算法?实现LRU、LFU和FIFO? | 静水深流 最长递增子序列及vue3.0中diff算法 | 静水深流 二进制之入门到应用实践 | 静水深流 常见算法学习 | 静水深流 CSS 形状的实现 | 静水深流 ajax取消接口请求 | 静水深流 前端常见的安全问题 | 静水深流 关于http服务端的学习&总结 | 静水深流 前端面试题总结 | 静水深流 javascript原生代码实现及代码总结 | 静水深流 LeetCode算法学习总结-简单 | 静水深流 LeetCode算法学习总结-困难 | 静水深流 LeetCode算法学习总结- 中等 | 静水深流 排序算法总结 | 静水深流 Javascript之常见类型判断汇总 | 静水深流 JavaScript各种继承方式和优缺点 | 静水深流 webpack开发、使用及优化总结 | 静水深流 从JavaScript中的拷贝开始思考 | 静水深流 vue原理、使用及面试方面的总结 | 静水深流 前端发展及选择 | 静水深流 css面试总结 | 静水深流 JavaScript 数组展开(扁平化)和underscore的 flatten | 静水深流 首页 | 静水深流 学习网站收藏 | 静水深流 文章列表 | 静水深流
扫码登录的实现原理 | 静水深流
shaolibao · 2021-04-17 · via 静水深流's blog

扫码登录的实现原理

RFC6749

OAuth 2.0 规定了四种获得令牌的流程:

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials) 而一般扫码登录的网站都是使用的授权码方式实现的;也就是:

通过向三方登录系统获取授权码,在通过授权码+client_id信息向三方获取令牌,通过令牌就可以获取用户在三方的信息

微信登录流程

要想实现微信登录首先需要有一个已经审核通过的网站,并获得相应的AppIDAppSecret,并且申请通过了微信登录的权限

流程

  • 用户通过点击网站微信授权登录按钮,进入微信授权登录页面,链接:https://open.weixin.qq.com/connect/qrconnect?appid=${APPID}&redirect_uri=${REDIRECT_URI}&response_type=code&scope=snsapi_login&state=${STATE}#wechat_redirect;
    • appid: 必填,在开发者平台申请的唯一id,是应用的唯一标识,同时微信官方也可以通过这个id知道请求方是谁
    • redirect_uri: 必填,当用户同意或拒绝后的跳转地址,同时会携带一个code授权码,例:https://slbyml.github.io//callback?code=AUTHORIZATION_CODE
    • response_type: 必填, 标识返回的授权码(code)(超时时间为10分钟)
    • scope: 必填,代表授权做用户,一般为snsapi_login
    • state 非必填,此为微信官方加的,用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加session进行校验
  • 微信官方对链接验证通过后会返回一个二维码,同时浏览器端通过长轮询(long-pollingopen in new window)的方式请求微信服务器,并通过返回状态确定用户是否扫码和授权
  • 当用户通过手机扫码并授权后,微信后端会调用回调地址redirect_uri,并将授权临时票据(code)返回
  • 我们的后端拿到票据后,会继续请求微信服务器去获取授权令牌(access_token):地址:https://api.weixin.qq.com/sns/oauth2/access_token?appid=${APPID}&secret=${SECRET}&code=${CODE}&grant_type=${authorization_code}
    • appid: 唯一标识
    • secret: 应用密钥,通过appid+secret可以确认网站的身份
    • code: 上一步拿到的授权码
    • grant_type: 填authorization_code,表示采用的授权方式是授权码
  • 微信后端确认无误后会返回带有access_token的JSON数据
  • 我们拿到access_token就可以通过令牌调用微信接口获取用户数据

参考