OAuth2的四种认证方式

文章目录

  OAuth2是目前流行的认证协议，主要包含四种认证方式：客户端认证、密码认证、授权码认证、刷新令牌认证。

客户端认证grant_type=client_credential

&empsp; 以微信公众号为例，在发布文章时，要提交一个token，但是获取token则需要客户端认证，将客户端id（也就是公众号的id）和密钥传给微信服务器，获取一个有效期大概一小时的token。这个获取token的认证方式就是客户端认证。如下图所示：

授权码认证access_token

  授权码认证是每个业务接口都需要传递token，比如微信公众号发布文章，就用到了这种认证方式，授权码认证由来已久，以前的jsessionid,或者是phpsession，其实都可以算作是授权码认证。不过oauth2有特殊的地方，在于获取用户的资源时，可以获取用户的授权码，比如说微信公众号应用里获取用户的微信头像等信息，就可以获取用户给的授权码，然后用这个授权码获取用户的微信头像等信息。如图：

密码认证grant_type=password

  密码认证在微信公众号里没有对应的接口，但是我们日常用spring security开发的应用中经常用到，就是用户在服务器端密码登录，用的就是这个，然后spring security会返回用户的信息，比如以下就是一个密码认证的例子：

刷新token认证

  记住密码是不安全的，我的wegame没有勾选记住密码，却勾选了自动登录，这是怎么实现的呢？就是客户端记住了refresh_token。以微信公众号为例，也有这个接口：

其他认证

  OAuth2还支持其他认证，如果是spring security，只有多设置几种grant_type就可以了，比如说增加SMS（短信认证）类型，指纹认证、人脸认证，这些认证方式其实和密码认证差不多。短信认证可以看成是动态密码，指纹于人脸可以看做另一种形式的密码。