博客园OAuth2.0 授权及用户登录

Posted 2023-03-09

参考技术A 在进入主题之前先了解一下一个基础但非常重要的知识 grant_type :

authorization_code ：授权码模式(即先登录获取code,再获取token)
password ：密码模式(将用户名,密码传过去,直接获取token)
client_credentials ：客户端模式(无用户,用户向客户端注册,然后客户端以自己的名义向’服务端’获取资源)
implicit ：简化模式(在redirect_uri 的Hash传递token; Auth客户端运行在浏览器中,如JS,Flash)
refresh_token ：刷新access_token

获取token的url是 https://api.cnblogs.com/token ，此时 grant_type 取值应该为 client_credentials ，另外还需要client_id及client_secret。

调试方便，暂时使用postman进行模拟请求。

需要说明的一点是，请求为POST，需要添加两条header，分别是

关于 Authorization 的计算规则，首先需要申请API权限，得到clientId和clientSecret，姜这两这个值按照 client_id:client_secret 进行base64编码，然后添加 Basic 即可。

得到的json结构是这个样子：

可以看到，并没有 refresh_token 字段。所以，当token过期的时候，应该怎么刷新呢，那对于这种情况，只能重新请求了。
至于如果刷新token，那就得先登录才可以获取到了。下面就讲一下如何进行登录，及主要事项。

用户登录的header和获取token没有区别，不过 grant_type 取值为 password ，另外还需要提供用户名及密码。

需要注意的是，用户名和密码需要进行RSA公钥加密，然后进行base64编码，至于公钥，申请API权限的时候会有提供。
此时得到的json数据结构和上面有所不同：

可以看到多了 refresh_token 字段，那么这种情况下，当token过期后，就可以使用 refresh_token 这种方式来获取新的token，那如果 refresh_token 也过期的话，就只能重新登录了。下面就简单说明一下刷新token的流程。

根据登录后返回的 refresh_token ，我们可以在token过期后，使用这个值来重新获取token而无需重新登录。

需要注意的是，header与之前有所不同， Authorization 的值为 Bearer + access_token 的值。另外 grant_type 取值为 refresh_token ，还需要post一个字段是 refresh_token ，也就是登录时获取的值。得到的json数据结构和登录相同。

此文只是简单介绍了一下博客园token获取及刷新的基本逻辑及注意事项，也作抛砖引玉之用。后续会在 android 平台上实现一个简单的实例。