oAuth2流程:
- 应用请求oAuth2服务器获取token(提供凭证)
- 应用携带token请求服务(header)
- 服务读取token并请求oAuth2服务器验证token,并获取用户信息
- 应用验证用户权限
JWT (Json Web Token)
- 自包含(不用请求oAuth2服务器就可以验证token)
- 可扩展(token可以包含扩展信息)
OAuth2授权类型:
- 密码授权
- 客户端凭据授权
- 授权码授权
- 隐式授权
授权码授权流程(第三方登陆,用户使用B登陆A):
- 用户访问A,被A重定向至B的登录页
- 用户在B登陆,B请求oAuth服务器获取授权码
- B重定向用户至A的回调地址(携带授权码)
- A请求oAuth服务器验证授权码
- oAuth服务器返回给A token