最近公司产品上线，通宵加班了一个月，一直没有更新，今天开始恢复，每日一更，冲冲冲

任务13：详解oauth2授权码流程

我们即将开发的产品有一个用户 API，一个项目服务 API，每个服务都需要认证授权，所以我们需要一个登录系统，用户（Android，IOS）通过登录系统获取 token，再使用 token 访问 API

在这个体系下都是自己的系统，可以输入用户名和密码，当用户在其他的平台，需要访问我们的 API，比如开发平台 open-api.mingson.cn，其他平台的用户不可能直接调用这个 API，必须得到授权才可以访问

如果访问的是网站，比如用户中心和人才中心，两个模块都需要跳转登录，我们会通过密码的方式访问登录系统，点击同意之后跳转

授权码模式步骤：

（A）用户访问客户端，后者将前者导向认证服务器。

（B）用户选择是否给予客户端授权。

（C）假设用户给予授权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个授权码。

（D）客户端收到授权码，附上早先的"重定向URI"，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。

（E）认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。

参考资料

理解OAuth 2.0：

https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

课程链接

http://video.jessetalk.cn/course/explore