OAuth2.0 微信授权机制

我在了解设计Restful接口的时候，发现涉及到接口验证，可以利用OAuth2.0机制来验证。

我开发的微信端Web网页通过微信授权的时候，微信端也是用OAuth2.0机制来获取用户基本信息。

OAuth2.0

有四种授权模式：授权模式（微信）、简化模式（前者简化版）、密码模式、客户端模式。

授权模式（微信）

开发的微信端Web应用可以利用通过微信来获取用户基本信息，这样就免了用户去注册登录的繁杂步骤，只用点击微信的授权页面就能登录。

用户仅仅需要点击授权，Web应用就能通过微信拿到用户的微信基本信息，大大提高用户体验。

步骤

简化的步骤：Web后端拿到access_token，通过access_token去跟微信拿到用户信息。

所以关键是如何能够拿到access_token。

1. 用户授权

    "https://open.weixin.qq.com/connect/oauth2/authorize?"
		+ "appid=APPID&"  // 代表你公众号
		+ "redirect_uri=REDIRECTURL&" // 处理Code的URL地址
		+ "response_type=code&"
		+ "scope=SCOPE&" // 要拿到用户的基本微信（需要授权）还是只拿到用户的openid
		+ "state=STATE&connect_redirect=1#wechat_redirect"; // state 参数用来验证 防止csrf（跨站请求伪造）攻击

    这是微信官方页面，会出现授权按钮。

2. 获取access_token

   一旦用户在上述页面点击了授权，那么微信就会把code参数和state参数传输到我们redirect_uri后端。
    拿到state参数可用于验证，从而防止cstf。
    重点在于code参数的利用。

    "https://api.weixin.qq.com/"
		+ "sns/oauth2/access_token?"
		+ "appid=APPID&"
		+ "secret=SECRET&"
		+ "code=CODE&"
		+ "grant_type=authorization_code";

    然后再通过微信的接口，发送我们的appid和appsecret以及code，然后就能拿到access_token和授权用户的openid。

3. access_token和openid

    通过access_token和openid 我们就能通过微信官方接口来获取授权用户的基本信息。

为什么access_token和openid就能拿到用户信息

1. 在微信官方页面，用户点击了授权（用户同意）

2. appsecret只有我们本身Web应用和微信才知道，同时redirect_uri也是登记在微信公众平台（Web应用的正确性）