什么是oauth3.0?

oauth3.0是oauth2.0的升級版，但是它不兼容oauth2.0。oauth 是一個開放授權(quán)的標(biāo)準(zhǔn)；OAuth認(rèn)證是為了做到第三方應(yīng)用在未獲取到用戶敏感信息（如：賬號密碼、用戶PIN等）的情況下，能讓用戶授權(quán)予他來訪問開放平臺（主要訪問平臺中的資源服務(wù)器Resource Server）中的資源接口。

什么時候會用到它呢？

其實它的應(yīng)用在生活中隨處可見。就拿一個最常見的例子來說：

我們登陸app時，經(jīng)常會看到app登陸入口提供了微信登錄的入口，比如:

點擊微信登錄的時候，會跳到微信登錄授權(quán)頁面

點擊同意，app就會拿到我們的用戶信息(昵稱，頭像)。

那么它是怎么拿到用戶信息的呢？原因是微信提供了oauth3.0 接口，實現(xiàn)了oauth3.0協(xié)議，用戶不需要在第三方app里面使用微信的用戶名和密碼，而是直接使用微信授權(quán)，授權(quán)之后，微信就會給第三方app傳遞一個授權(quán)碼，第三方app拿著這個授權(quán)碼去換取當(dāng)前用戶訪問的token，最后拿著token就可以調(diào)用相應(yīng)的微信接口(獲取昵稱和頭像的接口)。

當(dāng)然，微信只是用了oauth3.0中其中一種授權(quán)模式:授權(quán)碼模式。它是最安全和最完整的的授權(quán)模式。oauth3.0還有其它授權(quán)模式，這里就不多講了，今天我們主要聊一聊如何實現(xiàn)授權(quán)碼模式。

oauth3.0 授權(quán)碼模式授權(quán)流程

現(xiàn)在有一個需求是這樣的：用戶想要使用AI碼師商城的賬號登錄第三方app

直接上圖

代碼實現(xiàn)思路

• 1.提供一個authorize.do接口，用來分配授權(quán)碼，并校驗客戶端的appid和secert，及跳轉(zhuǎn)地址，校驗完成之后，再進行用戶名和密碼校驗，如果校驗通過，就將當(dāng)前用戶信息和code綁定，然后在回調(diào)地址中拼接code參數(shù)。
• 2.提供一個token.do接口，用來給用戶分配授權(quán)token，接收用戶傳入的code，找到對應(yīng)的綁定關(guān)系，然后生成一個token與具體用戶綁定，最后將token和refreshtoken返回給第三方。
• 3.再提供一個refreshtoken.do的接口，用來刷新token的有效期，因為給用戶分配的token是有效期的，但是refresh_token的有效期比token的有效期要長，所以可以使用refresh_token來刷新token有效期