背景简述
本文意在搭建一个通用的应用后端服务环境, 账号验证是应用的基础环境之一.
OAuth2可提供安全的验证环境, 以access_token作为访问安全资源的令牌, 作为单一的应用端与后端的交互方式, 采用password类型会更简洁一点, 若是要实现类似Google, Facebook或新浪微博的第三方登录平台模式, 请选用Authorisation code grant.
OAuth类型参考说明: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Choosing-a-Grant
本文选用的OAuth2授权方式为: password, 需搭配 refresh_token使用, 在access_token过期后, 使用refresh_token申请新的access_token, 无需重新登录, 达到应用端登录一次,一直有效的效果.
若refresh_token失效, 则需用户重新登录, 这对对应着用户长期没有使用应用, 需让用户重新登录授权的场景. 一般时间可以设成一个月, 根据实际需求设置.
环境:
Laravel 5.1 安装请参考博文:
专为Laravel定制的OAuth2实现 oauth2-server-laravel : https://github.com/lucadegasperi/oauth2-server-laravel/wiki
oauth2-server-laravel PasswordGrant安装及配置请参考官网文档, 已经很清楚了:
安装配置: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Laravel-5-Installation
使用: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Implementing-an-Authorization-Server-with-the-Password-Grant
本文重点:
官网只说明了如何配置以及添加使用代码, 但未说明如何调用, 这可能会拦住不少菜鸟.
ps: 这里纠正一下官网文档的一个"手误":
'\App\PasswordVerifier@verify' 改成 '\App\PasswordGrantVerifier@verify' 与后面的类定义一致<br />
测试数据准备
测试前,需要有一个AppID和AppSecret, 和第三方平台一样, 这是为了能识别是某一个应用的访问
操作如下: 在oauth_clients表中加入一条app信息, 如:
模拟HTTP请求
这里模拟一下HTTP请求的过程, 直接贴图, 大家懂的
授权获取access_token, 注意参数中的 client_id及client_secret需与oath_clients里的一致.
access_token过期后, 用refresh_token进行更新, 返回新的 access_token 及 refresh_token