关于网站接口管理OAuth登录。

Posted 2023-03-09

参考技术A 在我们后台接口管理里有个OAuth登录的配置，这个看起来好像挺复杂，其实经常看到，就是我们的第三方登录。第三方登录的实质，就是在OAuth2.0协议的基础上，利用外部的标识来获取帐号的内部标识然后完成登录的过程。 就是将三方的帐号绑定到产品自身的帐号上，当查询到用户第三方的帐号已经绑定了平台的某个user_id时，直接登录对应的帐号。比如用QQ，微信登录等。

关于OAuth 2.0：

这个不太容易解释，我们简单的理解为授权的通用协议

为什么需要这个，我们假设这样一个场景

假设你是做电商的，一位快递天天都需要上门到你家取件，但是你居住的小区是有门禁的，进入小区的方式有两种

1.利用你家的门禁卡（这个门禁卡能打开小区门和你家的电子门）

2.利用小区的临时门禁卡进入

这两种方式， 显然第二种是更安全的，因为快递小哥只需要有临时卡进入小区，然后到你家按门铃，你再交付快递给他就好。而直接将你家的门禁卡给他，显然不理智。

现实中的例子很好理解，那么在第三方登录中也是如此

APP → 快递小哥

第三方应用 → 你家

用户信息 → 快递件

第三方应用平台下用户的帐号和密码 → 你家的门禁卡

Token → 小区临时门禁卡

APP（快递小哥）需要从第三方应用那拿到你的资料（快件），显然第三方应用不可能把帐号和密码（你家的门禁卡）给APP，这时候提供一个Token（临时的小区门禁卡），让APP既能获取到你的用户信息（快件），又保证了安全。

第三方登录的时序图

好了，理清了上面的基础概念和了解了第三方登录的实质。

为什么需要加入第三方登录 ： 提高登录转化率，登录更加快捷，不需要输入密码

在PC时代，登录不同的网站，为了避免网站被攻击后导致的用户数据泄露，自己会将网站分类，不熟的网站使用密码A，常用的网站使用密码B，重要的网站用密码C，极其重要的几个网站单独用密码DEF等等，但是记忆起来很费事。

到了移动互联网时代，几大第三方平台已经成为了人手必备了产品了，特别是微信，简直可以看成移动互联网的用户身份证。

产品接入了第三方登录后，用户跳转到第三方应用，直接在授权页面点击授权即可进入产品，免去了输入密码的环节，能提高登录的转化率。

2. 提高注册转化率，注册更加快速，方便获取用户信息

第三方登录能简化注册流程，快速获取到用户信息，例如头像，昵称，性别，所在城市等等，让用户减少了信息填写的步骤，能更快的使用产品。

以微信小程序为例，对于不需要自建帐号体系的产品来说，有了微信授权后， 仅仅需要点击一次“允许”就完成了帐号的注册 ，产品也能直接获取到用户的一系列信息，用户体验极好。

如果对比还不够清晰，将传统注册流程和微信授权的流程列出后，就会发现，原本需要花8个步骤3-5分钟完成的事情，微信授权不到5S就完成了。

可见第三方登录对于提供注册转化率是有很大帮助的。

这下我们就清楚了三方登录的原理作用和重要性。

然后我们就可以按照平台的要求，把我们的网站和地第三方的登录连接起来了。