背景简述

本文意在搭建一个通用的应用后端服务环境, 账号验证是应用的基础环境之一. 

OAuth2可提供安全的验证环境, 以access_token作为访问安全资源的令牌, 作为单一的应用端与后端的交互方式, 采用password类型会更简洁一点, 若是要实现类似Google, Facebook或新浪微博的第三方登录平台模式, 请选用Authorisation code grant. 

OAuth类型参考说明: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Choosing-a-Grant

本文选用的OAuth2授权方式为: password, 需搭配 refresh_token使用, 在access_token过期后, 使用refresh_token申请新的access_token, 无需重新登录, 达到应用端登录一次,一直有效的效果. 

若refresh_token失效, 则需用户重新登录, 这对对应着用户长期没有使用应用, 需让用户重新登录授权的场景. 一般时间可以设成一个月, 根据实际需求设置.

环境:

Laravel 5.1 安装请参考博文: 

专为Laravel定制的OAuth2实现 oauth2-server-laravel : 

oauth2-server-laravel PasswordGrant安装及配置请参考官网文档, 已经很清楚了:

安装配置:

使用:

本文重点:

官网只说明了如何配置以及添加使用代码, 但未说明如何调用, 这可能会拦住不少菜鸟.

ps: 这里纠正一下官网文档的一个"手误": 

'\App\PasswordVerifier@verify' 改成 '\App\PasswordGrantVerifier@verify' 与后面的类定义一致

测试数据准备

测试前,需要有一个AppID和AppSecret, 和第三方平台一样, 这是为了能识别是某一个应用的访问

操作如下: 在oauth_clients表中加入一条app信息, 如:

模拟HTTP请求

这里模拟一下HTTP请求的过程, 直接贴图, 大家懂的

授权获取access_token, 注意参数中的 client_id及client_secret需与oath_clients里的一致.

access_token过期后, 用refresh_token进行更新, 返回新的 access_token 及 refresh_token