Laravel 5.1 + OAuth2 PasswordGrant(密码受权模式)

背景简述

本文意在搭建一个通用的应用后端服务环境, 帐号验证是应用的基础环境之一. 

OAuth2可提供安全的验证环境, 以access_token做为访问安全资源的令牌, 做为单一的应用端与后端的交互方式, 采用password类型会更简洁一点, 如果要实现相似Google, Facebook或新浪微博的第三方登陆平台模式, 请选用Authorisation code grant. 

OAuth类型参考说明: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Choosing-a-Grant

本文选用的OAuth2受权方式为: password, 需搭配 refresh_token使用, 在access_token过时后, 使用refresh_token申请新的access_token, 无需从新登陆, 达到应用端登陆一次,一直有效的效果. 

若refresh_token失效, 则需用户从新登陆, 这对对应着用户长期没有使用应用, 需让用户从新登陆受权的场景. 通常时间能够设成一个月, 根据实际需求设置.

环境:

Laravel 5.1 安装请参考博文: http://my.oschina.net/u/2485194/blog/518803

专为Laravel定制的OAuth2实现 oauth2-server-laravel : https://github.com/lucadegasperi/oauth2-server-laravel/wiki

oauth2-server-laravel PasswordGrant安装及配置请参考官网文档, 已经很清楚了:

安装配置: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Laravel-5-Installation

使用: https://github.com/lucadegasperi/oauth2-server-laravel/wiki/Implementing-an-Authorization-Server-with-the-Password-Grant

本文重点:

官网只说明了如何配置以及添加使用代码, 但未说明如何调用, 这可能会拦住很多菜鸟.

ps: 这里纠正一下官网文档的一个"手误": 

'\App\PasswordVerifier@verify' 改为 '\App\PasswordGrantVerifier@verify' 与后面的类定义一致

测试数据准备

测试前,须要有一个AppID和AppSecret, 和第三方平台同样, 这是为了能识别是某一个应用的访问

操做以下: 在oauth_clients表中加入一条app信息, 如:

模拟HTTP请求

这里模拟一下HTTP请求的过程, 直接贴图, 你们懂的

受权获取access_token, 注意参数中的 client_id及client_secret需与oath_clients里的一致.

access_token过时后, 用refresh_token进行更新, 返回新的 access_token 及 refresh_token