OAuth2的四种认证方式
OAuth2是现在盛行的认证协议,主要包含四种认证方式:客户端认证、密码认证、授权码认证、革新令牌认证。客户端认证grant_type=client_credential
&empsp; 以微信公众号为例,在发布文章时,要提交一个token,但是获取token则需要客户端认证,将客户端id(也就是公众号的id)和密钥传给微信服务器,获取一个有效期大概一小时的token。这个获取token的认证方式就是客户端认证。如下图所示:
https://i-blog.csdnimg.cn/direct/1e9abb1d82b743eaa55a6e07c73778ad.png#pic_center
授权码认证access_token
授权码认证是每个业务接口都需要传递token,比如微信公众号发布文章,就用到了这种认证方式,授权码认证由来已久,以前的jsessionid,大概是phpsession,其实都可以算作是授权码认证。不过oauth2有特殊的地方,在于获取用户的资源时,可以获取用户的授权码,比如说微信公众号应用里获取用户的微信头像等信息,就可以获取用户给的授权码,然后用这个授权码获取用户的微信头像等信息。如图:
https://i-blog.csdnimg.cn/direct/08bc86218bea4a92a4eacb38d05d8870.png#pic_center
密码认证grant_type=password
密码认证在微信公众号里没有对应的接口,但是我们一样平常用spring security开辟的应用中常常用到,就是用户在服务器端密码登录,用的就是这个,然后spring security会返回用户的信息,比如以下就是一个密码认证的例子:
https://i-blog.csdnimg.cn/direct/754cd45c80a84755aeb9dd30e5c7cb62.png#pic_center
革新token认证
记住密码是不安全的,我的wegame没有勾选记住密码,却勾选了自动登录,这是怎么实现的呢?就是客户端记住了refresh_token。以微信公众号为例,也有这个接口:
https://i-blog.csdnimg.cn/direct/d5008ba4ba34459b82dd48398138f5f9.png#pic_center
其他认证
OAuth2还支持其他认证,如果是spring security,只有多设置几种grant_type就可以了,比如说增长SMS(短信认证)类型,指纹认证、人脸认证,这些认证方式其实和密码认证差不多。短信认证可以当作是动态密码,指纹于人脸可以看做另一种情势的密码。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]