文章目录
- 客户端认证grant_type=client_credential
- 授权码认证access_token
- 密码认证grant_type=password
- 刷新token认证
- 其他认证
OAuth2是目前流行的认证协议,主要包含四种认证方式:客户端认证、密码认证、授权码认证、刷新令牌认证。
客户端认证grant_type=client_credential
&empsp; 以微信公众号为例,在发布文章时,要提交一个token,但是获取token则需要客户端认证,将客户端id(也就是公众号的id)和密钥传给微信服务器,获取一个有效期大概一小时的token。这个获取token的认证方式就是客户端认证。如下图所示:
授权码认证access_token
授权码认证是每个业务接口都需要传递token,比如微信公众号发布文章,就用到了这种认证方式,授权码认证由来已久,以前的jsessionid,或者是phpsession,其实都可以算作是授权码认证。不过oauth2有特殊的地方,在于获取用户的资源时,可以获取用户的授权码,比如说微信公众号应用里获取用户的微信头像等信息,就可以获取用户给的授权码,然后用这个授权码获取用户的微信头像等信息。如图:
密码认证grant_type=password
密码认证在微信公众号里没有对应的接口,但是我们日常用spring security开发的应用中经常用到,就是用户在服务器端密码登录,用的就是这个,然后spring security会返回用户的信息,比如以下就是一个密码认证的例子:
刷新token认证
记住密码是不安全的,我的wegame没有勾选记住密码,却勾选了自动登录,这是怎么实现的呢?就是客户端记住了refresh_token。以微信公众号为例,也有这个接口:
其他认证
OAuth2还支持其他认证,如果是spring security,只有多设置几种grant_type就可以了,比如说增加SMS(短信认证)类型,指纹认证、人脸认证,这些认证方式其实和密码认证差不多。短信认证可以看成是动态密码,指纹于人脸可以看做另一种形式的密码。