java - 微信登录oauth2.0授权相关问题

Question

微信登录，用户授权给第三方，第三方在获得授权码之前微信怎么判断是哪个用户授的权，还有请求accessToken时，只带了code，势必生成code的时候会有和用户相关的绑定信息，要不怎么去验code，只有code正确，才会生成相应的token，求大神指教，感觉理解还不到位

Answer 1

le code est une donnée temporaire. Puisqu'il vous est transmis via un saut de lien, ce paramètre ne peut pas être une donnée liée à l'identité de l'utilisateur, je vous donne donc une donnée temporaire, puis vous utilisez ces données temporaires pour échanger l'identité de l'utilisateur. .jeton.

Answer 2

Le code peut être compris comme l'autorisation de l'utilisateur, et le jeton peut être compris comme le tiers autorisant l'utilisateur à contacter l'appelant.

Answer 3

L'autorisation WeChat nécessite que vous scanniez le code QR. Lorsque vous scannez le code, WeChat enverra des informations au serveur afin que celui-ci sache qui l'a autorisé.
Le code renvoyé est une valeur unique générée par le serveur et est stocké sur le serveur avec les informations utilisateur. Bien sûr, WeChat peut le distinguer

.

Answer 4

Merci pour la réponse ci-dessus. J'ai lu du code source et oui, il existe effectivement une relation contraignante Lors de la génération du code d'autorisation, le serveur d'authentification WeChat déterminera s'il faut se connecter. jeton lié à l'utilisateur (usernamepasswordtoken, ce jeton n'a rien à voir avec le jeton échangé, il est simplement utilisé pour identifier l'utilisateur), puis génère le code, enregistre la relation entre le code, le client_id et le nom d'utilisateur, puis renvoie le code . Lorsque le client demande le jeton, le code sera vérifié en fonction de l'identifiant du client et de l'exactitude. S'il est correct, le serveur d'authentification WeChat obtiendra l'utilisateur actuel, puis générera l'identifiant d'authentification en fonction de l'identifiant du client, du nom d'utilisateur et de la portée (si la portée ne l'est pas. vide), puis générez accessToken, enregistrez la relation entre AuthenticateId et accessToken, et enfin supprimezCode et renvoyez accessToken