Senparc之OAuth原理

今天学习了网易云课堂的 盛派的微信开发课程之OAuth微信网页授权：OAuth原理，边听边来波笔记；

1、什么是OAuth？

OAuth 你的接口提供给别人使用，你需要提供Oauth，可以让被人使用，也可以使用别人的OAuth
OAuth2.0安全性更高

OAuth2.0的流程

开发者服务器或APP  <---------------------------------------------------------->微信服务器

1、A：客户端（应用服务器）向服务器（对应微信服务器）发送验证请求，请求中一般会携带这些参数：

ID：标识，例如微信公众号的APPId，

验证后跳转到的URL（redirectUrl）

状态参数（可选）

授权作用域（可选）

响应类型（可选）

2、B：服务器端返回一个grant授权标识（微信默认情况下称之为Code），就像一个一次性的临时字符串密钥，如果A中提供了

redirectUrl，这里服务器会做一次跳转，带上grant和状态参数，访问redirectUtl.

3、C：客户端的redirectUrl对应页面，凭借grant再次发起请求，这次请求中通常会携带一些敏感信息：

ID：标识 (微信公众号的APPId)

密码

grant字符串（code）

grant类型（可选、微信中默认为code）

4、D：服务器验证ID标识、密码、grant都正确后，返回AccessToken（注意：这里的AccessToken和之前通用接口、高级接口介绍的AccessToken没有关系，不能交叉使用）

5、E：客户端凭借AccessToken请求一系列的API，在此过程中不会携带AppId，Secret，grant等敏感信息。

6、F：服务器返回请求结果
第一步是用户直接操作的，最后一步返回用户的基本信息

微信中两种授权方式：

1、显示授权 snsapi_userinfo 特点：有授权，无论用户有无关注公众号，都能得到详细的信息 如 openId，昵称、头像 性别 、所在地区等等
2、静默授权：  snsapi_userinfo 特点：如果用户没有关注，只能获得OpenId

混合使用：先用静默授权 获取openId，如果还没有关注，就显示的授权，

加强账号和密码的安全性：

1、客户端将密码加密后传输到服务器

2、服务器端使用”加盐“的方式进行混淆加密，严谨明文存储密码

3、尽量不要使用Cookie存储用户名、尤其是OpenId，更不要在Url中传输OpenId

4、你必须知道：Session常规情况下也是依赖Cookie才能起作用的，所以不要以为Session和客户端安全无关！

5、Https不能解决所有安全问题！