简化模式:认证服务器授权让前端直接拿到token,使得前端可以直接发起请求。
Webhook回调
是一种机制,允许Web应用程序与其他应用程序或服务进行实时通信。它是一种反向API,可以在特定事件发生时向指定的URL发送HTTP POST请求,以通知接收方发生了某个事件。这些事件可以是用户的行为,例如提交表单或点击按钮,也可以是系统事件,例如更新数据库或完成某个任务。Webhook回调通常用于自动化流程,例如将数据同步到其他应用程序或服务,或在特定事件发生时触发通知或警报。
Http是有状态还是无状态的?
HTTP是无状态的,即每个请求都是独立的,服务器不会记住之前的请求或会话状态。这意味着每个请求都必须包含足够的信息来让服务器理解请求的意图。为了处理会话状态,可以使用cookie、session等技术。
授权流程
第三方应用通过授权层访问应用,第三方应用不能直接登录“服务提供商”,只能登录授权层。
授权码模式
客户端拉取和重定向到服务商的页面(提高信任度并且重定向是资源提供提供商真切的授权界面)。当第三方应用重定向的URL。
如果用户同意授权,授权认证服务器把授权码Code发给客户端,并且重定向到客户端给定的网站(请求完成后回调的url地址),客户端收到授权码和重定向Url,才知道落到客户端的服务器上,即:
After the merchant grants the permission and confirms installing the app, the browser will be redirected to the Redirect URL (speicifed in Step (1)) together with the code.
重定向到客户端界面,同时带上授权码
从重定向URL的参数中解析出Code(时效性很短,而且只分析一次,提高安全性),再把Code给到后端服务器,服务器再向授权服务器申请Access_Token.
