开放平台设计

在互联网时代,把网站的服务封装成一系列计算机易识别的数据接口开放出去,供第三方开发者使用,这种行为就叫做Open API,提供开放API的平台本身就被称为开放平台

  • 使用加签名方式,防止篡改数据
  • 使用HTTPS加密传输
  • 搭建OAuth2.0认证授权
  • 使用令牌方式
  • 搭建网关实现黑名单和白名单

令牌

通过app id与 app secret 获取一个临时token,此token具有操作的权限

OAuth2.0

OAuth: OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容

概念

appId 商户号
appKey 商户密钥
授权码Code 获取accessToken
access Token 调用接口权限访问令牌
回调地址 授权成功,重定向地址
openid 开放平台生产唯一的用户id

认证授权过程

网站主动跳转到服务商并携带id和key,显示授权界面

用户同意授权,服务商重定向向网站传递code

网站通过code获取access_token

刷新access_token(如果需要)

网站使用access_token + open_id 向服务商拉取用户信息

联合登录

  • 获取 open id
  • 根据open id查询用户
  • 如果存在 生成令牌
  • 否则关联账号

参数传递安全

后端服务器传递参数,返回token给前端,前端通过token请求另外一台服务器

results matching " "

No results matching " "

results matching " "

No results matching " "