Step {{ step }} / {{ maxStep }} · {{ steps[step - 1]?.title }}
角色
Client(你的应用)
Authorization Server(微信/Google 等)
Resource Server(你的 API)
OAuth2
的核心:你的应用不再保存用户在第三方的密码,而是拿到授权码/令牌后去换取用户信息。
本步要做什么
{{ steps[step - 1]?.desc || '点击开始' }}
注意
{{ steps[step - 1]?.warn }}
请求/命令示例(可照抄)
{{ currentCmd || '(点击开始后显示)' }}
这是“示例请求”,不是你电脑上真实发出去的请求;你可以把参数替换成自己的
client_id / redirect_uri。
你真正需要记住的 4 件事
-
redirect_uri 必须白名单:避免被人把 code
劫持到自己的站。
- state 必须校验:防 CSRF(登录也会被 CSRF)。
- code 只能用一次且很快过期:泄露影响有限。
-
access token 要短 + refresh token 要保护:refresh
token 更像“长期钥匙”。