laravel passport OAuth2.0的4种模式

参考:
https://xueyuanjun.com/post/1...

熟悉的场景

某个网站，某用户未注册，注册时提示可微信帐号登陆(github, google都有相似)

某网站是第三方(客户端), 认证服务器和资源服务器都在微信，资源是指微信的用户名，头像等

网站目的是获取改用户微信的帐户，头像等，方便快速注册. 前提须要用户受权赞成.

laravel用passport搭建OAuth2认证服务

至关于基于laravel搭建OAuth2 Server.

资源拥有者: laravel server
OAuth2 认证服务器: laravel server
用户: 在laravel server注册过的用户
第三方: 经过api访问的Web端，目的就是要拿到access_token

1. 准备

见文档:https://xueyuanjun.com/post/1...

1. 4种模式

记得用artisan passport:client添加对应用户

对应不一样应用场景:

受权码模式(authorization_code)

实现相似微信受权登陆的服务.这个固然是最强大也最复杂的.

1. 用户点击客户端微信登陆按钮，url跳转到微信的登陆页面, (好比微信登陆)

1. 用户登陆微信, 微信提示是否容许受权.

实际是访问认证服务器的/oauth/authorize.

1. 容许，redirect到 客户端指定的redirect_uri

重定向uri由第三方在步骤1里指定.

后端没法控制具体重定向的url实现,(每一个第三方都不同)只能经过url添加返回参数code.

第三方服务的后端处理该重定向，再次发起访问/oauth/token,拿到真正的token

隐式受权

和code受权的惟一区别是返回的redirect_uri没有code参数：

http://dev.blog.com:8000/oauth/authorize?client_id=6&response_type=code&scope=&state=SENPYyXJvT0fl4Rnz0Ag&redirect_uri=http%3A%2F%2Fdev.blog.com%3A8000%2Fauth%2Fcallback

密码受权模式(password_credentials)

适用移动端.

无认证过程，客户端登陆时直接带上资源服务器注册过的帐号密码，就像使用同一个帐户系统.

客户端模式(client_credentials)

相似微信等开放平台的认证方式.开发者注册后拿到clientid, client_secret,而后认证去拿token直接用

比密码受权更简单，无需用户名密码，直接用client_id + client_secret.

javascript api

适用spa，不用也行..毕竟还要提交表单登陆.

省掉js api 带上Bearer Token +xxx的认证，直接放到cookie里.

需添加middleware:\Laravel\Passport\Http\Middleware\CreateFreshApiToken::class

这个 Passport 中间件将会附加 laravel_token Cookie 到输出响应，这个 Cookie 包含加密过的JWT，Passport 将使用这个 JWT 来认证来自 JavaScript 应用的 API 请求，如今，你能够发送请求到应用的 API，而没必要显示传递访问令牌.

其余用法

1 私人令牌
    受权方式在用户测试、体验平台提供的认证 API 接口时很是方便
2 scope做用域 
    更细颗粒度控制api权限