六、授權碼模式 · 理解OAuth 2.0

授權碼模式（authorization code）是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的后臺服務器，與"服務提供商"的認證服務器進行互動。 ![授權碼模式](https://box.kancloud.cn/2015-09-11_55f287e751a7a.png) 它的步驟如下： > （A）用戶訪問客戶端，后者將前者導向認證服務器。 > > （B）用戶選擇是否給予客戶端授權。 > > （C）假設用戶給予授權，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個授權碼。 > > （D）客戶端收到授權碼，附上早先的"重定向URI"，向認證服務器申請令牌。這一步是在客戶端的后臺的服務器上完成的，對用戶不可見。 > > （E）認證服務器核對了授權碼和重定向URI，確認無誤后，向客戶端發送訪問令牌（access token）和更新令牌（refresh token）。下面是上面這些步驟所需要的參數。 A步驟中，客戶端申請認證的URI，包含以下參數： * response_type：表示授權類型，必選項，此處的值固定為"code" * client_id：表示客戶端的ID，必選項 * redirect_uri：表示重定向URI，可選項 * scope：表示申請的權限范圍，可選項 * state：表示客戶端的當前狀態，可以指定任意值，認證服務器會原封不動地返回這個值。下面是一個例子。 > ~~~ > GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz > &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 > Host: server.example.com > ~~~ C步驟中，服務器回應客戶端的URI，包含以下參數： * code：表示授權碼，必選項。該碼的有效期應該很短，通常設為10分鐘，客戶端只能使用該碼一次，否則會被授權服務器拒絕。該碼與客戶端ID和重定向URI，是一一對應關系。 * state：如果客戶端的請求中包含這個參數，認證服務器的回應也必須一模一樣包含這個參數。下面是一個例子。 > ~~~ > HTTP/1.1 302 Found > Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA > &state=xyz > ~~~ D步驟中，客戶端向認證服務器申請令牌的HTTP請求，包含以下參數： * grant_type：表示使用的授權模式，必選項，此處的值固定為"authorization_code"。 * code：表示上一步獲得的授權碼，必選項。 * redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一致。 * client_id：表示客戶端ID，必選項。下面是一個例子。 > ~~~ > POST /token HTTP/1.1 > Host: server.example.com > Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW > Content-Type: application/x-www-form-urlencoded > > grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA > &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb > ~~~ E步驟中，認證服務器發送的HTTP回復，包含以下參數： * access_token：表示訪問令牌，必選項。 * token_type：表示令牌類型，該值大小寫不敏感，必選項，可以是bearer類型或mac類型。 * expires_in：表示過期時間，單位為秒。如果省略該參數，必須其他方式設置過期時間。 * refresh_token：表示更新令牌，用來獲取下一次的訪問令牌，可選項。 * scope：表示權限范圍，如果與客戶端申請的范圍一致，此項可省略。下面是一個例子。 > ~~~ > HTTP/1.1 200 OK > Content-Type: application/json;charset=UTF-8 > Cache-Control: no-store > Pragma: no-cache > > { > "access_token":"2YotnFZFEjr1zCsicMWpAA", > "token_type":"example", > "expires_in":3600, > "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", > "example_parameter":"example_value" > } > ~~~ 從上面代碼可以看到，相關參數使用JSON格式發送（Content-Type: application/json）。此外，HTTP頭信息中明確指定不得緩存。