授权码模式是最安全的OAuth 2.0流程,用户登录授权后重定向返回code,后端用code+client_id/client_secret换取access_Token,再安全存储并代理调用API。
理解授权码模式的核心流程
授权码模式(Authorization Code Flow)是OAuth 2.0中最安全、最常用的客户端认证方式,特别适合有后端服务的Web应用。它不直接暴露访问令牌(Access Token)给前端,而是通过中间“授权码”(Authorization Code)中转,由后端用该码向授权服务器换令牌。
关键步骤:用户跳转到授权服务器登录 → 授权成功后重定向回你的回调地址并附带code → 你的后端用code + client_id/client_secret向授权服务器请求access_token → 拿到token后调用受保护API。
准备客户端凭据与注册回调地址
在使用前,必须在目标授权服务器(如gitHub、google、或自建IdentityServer)上注册你的应用,获取:
- Client ID(公开标识,可出现在前端)
- Client Secret(敏感信息,只用于后端,绝不能写在js或客户端代码里)
- Redirect URI(必须精确匹配,含协议、域名、路径甚至尾部斜杠;例如https://yourapp.com/auth/callback)
注意:开发时本地调试常用http://localhost:5000/auth/callback,但需在平台白名单中显式添加,部分平台(如Google)不接受纯localhost或带端口的HTTP回调,此时可用http://127.0.0.1:5000/…或临时启用https。
后端实现授权码交换(以ASP.NET Core为例)
在控制器中处理回调请求,用HttpClient向授权服务器的/token端点发起POST请求,传入code、client_id、client_secret、redirect_uri和grant_type。
示例(简化版,生产环境建议用IHttpClientFactory和强类型模型):
// 假设已从Query中获取 code var tokenRequest = new Dictionary { ["grant_type"] = "authorization_code", ["code"] = code, ["redirect_uri"] = "https://yourapp.com/auth/callback", ["client_id"] = "your_client_id", ["client_secret"] = "your_client_secret" }; using var client = new HttpClient(); var response = await client.PostAsync( "https://auth.example.com/oauth/token", new FormUrlEncodedContent(tokenRequest) ); var json = await response.Content.ReadAsStringAsync(); // 解析返回的JSON,提取 access_token、expires_in、refresh_token等 推荐用Newtonsoft.Json或System.Text.Json反序列化响应,检查response.IsSuccessStatusCode,并妥善处理错误(如invalid_grant、invalid_client)。
安全存储与使用令牌
拿到access_token后,不要存入cookie或LocalStorage(易被xss窃取)。推荐方式:
- 后端会话(session)或分布式缓存(如redis),绑定当前用户ID
- 若需前端调用API,由后端代理请求(即前端请求
/api/me,后端用token去调https://api.example.com/me) - 如必须透传token给前端,使用HttpOnly+Secure Cookie存放,并配合SameSite=Lax
记得校验token有效期(expires_in字段),必要时用refresh_token静默刷新——同样需后端发起,且refresh_token通常单次有效、需轮换。
基本上就这些。授权码模式本身不复杂,但细节(比如redirect_uri严格匹配、client_secret保密、token存储方式)容易忽略,直接影响安全性。