OAuth 2.0 参数意义
?
最近在研究OAuth 2.0的技术,发现网上说的其实挺全面的,但是会给刚接触的服务器端开发者一些迷惘,就是这么多的参数如何用?我仔细理解了一下。
?
1、申请授权接口(HTTPS请求方式)
请求参数
?
必选
类型及范围
说明
client_id
true
string
申请应用时分配的AppKey。
redirect_uri
true
string
授权回调地址,站外应用需与设置的回调地址一致,站内应用需填写canvas page的地址。
response_type
false
string
返回类型,支持code、token,默认值为token。
state
false
string
用于保持请求和回调的状态,在回调时,会在Query Parameter中回传该参数。
display
false
string
授权页面的终端类型,取值见下面的说明。
scope
false
string
以英文逗号’,’分隔的权限列表,若不传递此参数,代表请求默认的basic权限。
oauth_version
False
string
(可选)版本号(目前只支持2.0)
?
redirect_uri说明:
应用开发者预先在申请应用时填写的地址,主要用于:当验证通过时,需要返回的页面,比如我开发的应用有一个登录成功的首页,那么用户在授权验证通过后,要回到我的应用的这个首页,那么这个首页的地址就是回调地址,参数state也就是需要传到我的应用首页的参数,这个参数在经过授权服务器(新浪微博)时会原封不动的传给回调地址(也就是我的应用的首页)。如果是移动终端授权,个人认为此参数和state均可以不用,只需要以json方式返回access_token即可
?
?
?
?
?
display说明:
参数取值
类型说明
default
默认的授权页面,适用于web浏览器。
mobile
移动终端的授权页面,适用于支持webView的智能手机。
返回数据
response_type为code
返回值字段
字段类型
字段说明
code
string
用于调用access_token,接口获取授权后的access token。
state
string
如果传递参数,会回传该参数。
?
response_type为token
返回值字段
字段类型
字段说明
access_token
string
用来调用其它接口的授权过的accesstoken。
expires_in
string
accesstoken有效期时间,unix的timestamp格式。
refresh_token
string
刷新token,如果有获取权限则返回。
state
string
如果传递参数,会回传该参数。
示例
response_type为token
//请求
https://api.t.sina.com.cn/oauth2/authorize?client_id=123050457758183&redirect_uri=http://www.example.com/response&response_type=token
?
//同意授权后会重定向
http://www.example.com/response#access_token=ACCESS_TOKEN&expires_in=250327040&refresh_token=REFRESH_TOKEN
?
response_type为code
//请求
https://api.t.sina.com.cn/oauth2/authorize?client_id=123050457758183&redirect_uri=http://www.example.com/response&response_type=code
?
//同意授权后会重定向
http://www.example.com/response&code=CODE
?
