Первый код авторизации обычно работает в течение примерно 3 минут.Второй код авторизации можно использовать только один раз.URI третьего перенаправления должен быть действительным, который был зарегистрирован для этого клиента на oauth-сервере
- Клиент инициирует поток, направляя агента пользователя владельца ресурса в конечную точку авторизации.Клиент включает в себя свой идентификатор клиента, запрошенную область действия, локальное состояние и URI перенаправления, на который сервер авторизации отправит агент пользователя обратно после предоставления (или отказа) доступа.
- Сервер авторизации аутентифицирует ресурсвладелец (через агента пользователя) и устанавливает, разрешает ли владелец ресурса или отклоняет запрос клиента на доступ.
- Предполагая, что владелец ресурса предоставляет доступ, сервер авторизации перенаправляет агент пользователя обратно клиенту, используя перенаправлениеURI предоставляется ранее (в запросе или при регистрации клиента).URI перенаправления включает в себя код авторизации и любое локальное состояние, предоставленное клиентом ранее.
- Клиент запрашивает токен доступа из конечной точки токена сервера авторизации, включая код авторизации, полученный на предыдущем шаге.При выполнении запроса клиент проходит аутентификацию на сервере авторизации.Клиент включает URI перенаправления, используемый для получения кода авторизации для проверки.
- Сервер авторизации аутентифицирует клиента, проверяет код авторизации и гарантирует, что полученный URI перенаправления соответствует URI, используемому для перенаправления клиента на этапе(С).Если он действителен, сервер авторизации отвечает токеном доступа и, необязательно, токеном обновления.
# section-4.1
Поток Oauth
Позволяет сделать это с правильной терминологией.
- Клиент = ваше приложение
- орган = удостоверение или сервер oauth2 (полномочия)
- владелец ресурса = пользователь, данные которого вы хотите получить.
Владелец ресурса загружает клиента, клиент замечает, что владелец ресурса не авторизован.Владелец ресурса связывается с полномочным органом, идентифицируя себя, используя идентификатор клиента и, возможно, секрет клиента, и отправляя URI перенаправления, и запрашивает области. (некоторые отправляемые сообщения зависят от настроек сервера аутентификации)
Полномочия обращают внимание, что владелец ресурса не вошел в систему, предлагает им войти в систему. Владелец ресурса входит в систему и проверяет области действия.клиент изначально запросилПредлагает владельцу ресурса предоставить клиенту доступ к указанным областям.
Владелец ресурса дает согласие на доступ.Администрация возвращает клиенту код авторизации.
Клиент говорит, что хорошо, что у меня есть код авторизации, и возвращает органу авторизации код авторизации, его идентификатор клиента и секрет.Таким образом, Органу известно, что на самом деле это клиент, которого владелец ресурса авторизовал.
Затем администратор возвращает клиенту токен доступа, который он может использовать в течение следующего часа.
Токены доступа повторно не проверяются.Поэтому, если кто-то украл этот токен доступа, он сможет использовать его до истечения срока его действия.