标签:用户登陆 mamicode 请求 点击 获取 事先 伪造 通过 应用
1、授权码模式是功能最全、最安全的,其授权过程(如获取微信用户信息):
a)用户登陆第三方应用,第三方应用需要获取该用户微信的个人资料
b)第三方把用户链接到微信的授权页面,用户点击授权,此时微信可以确切地知道用户是同意授权了,而不是由第三方应用伪造的同意动作
c)用户在微信的授权页面点击授权后,微信转跳回第三方应用页面并返回授权码,这个转跳回的页面是事先微信和第三方应用商量好的
d)第三方应用拿到授权码后(并不是token),可以去微信请求token,微信检查授权码是否正确,返回token
e)第三方应用拿到token后去微信请求用户个人资料,微信根据该token可以读出授权范围,并进行相应的授权后返回个人资料
2、授权码模式为什么安全
(1)用户的点击同意动作在微信端页面,更可控,而不是在第三方应用
(2)授权码模式最后返回的token一定是返回给第三方应用的服务器,有些简单的客户只有前端静态页面而没有服务器,则只能通过:"简化模式"在web页面进行授权、获取token等一系列动作
授权码模式
标签:用户登陆 mamicode 请求 点击 获取 事先 伪造 通过 应用
原文地址:https://www.cnblogs.com/afei1759/p/11154699.html
