(原谅我,我的豌豆大脑只能想到这个级别的了。把authorization_code的前端请求接口取消了,将请求用户信息部分的接口独立出来)
第一次登录步骤流程
- 用户点击登录按钮,前端向
oauth/sign-up地址发送get请求 - 后端
oauth/sign-up中将会用qq的服务器地址并且整合参数(这里包含state参数,后面有用到)构造一个向https://graph.qq.com/oauth2.0/authorize发起的请求
设定回调地址为oauth/index所在地址。
(P.S,这个oauth/index最终会跳转到用户中心,展示的仍然是一个页面,中间加几个curl,后面会详细谈到) - 前端向用户展示后端发来的授权页面,不同意授权,则停止(关闭页面),如果同意授权,浏览器跳转到
oauth/index
在oauth/index中:
- 首先会以GET方式收到
code(authorization_code)和state参数 - 以curl方式整合GET参数向https://graph.qq.com/oauth2.0/token请求
access_token
,这里为了通过验证,redirect_uri参数和第一次的一样,选为oauth/index所在地址。 - 结束后得到
access_token和refresh_token - 再次以curl方式整合GET参数(其中有
access_token)向https://graph.qq.com/oauth2.0/me请求openID - 用openID在数据库中查找用户,发现用户存在则更新该用户的
access_token和refresh_token,否则新建用户并且存储access_token和refresh_token。 - 此时登录已经完成,设置cookie(永久)储存用户加密过的
openID,user_id和获取access_token的时间戳,作为保留在前端的登录凭证。后台设置session存放用户user_id,作为后台的登录凭证。
(P.S. 如果丢失,应该向接口oauth/get-user-info接口重新申请信息。) - 流程结束,直接重定向至用户中心,并且带上
state参数,这个参数可以提示前端授权登陆已经完成。
单独独立出的用户信息请求接口
因为在oauth/index中页面完全空白(虽然时间很短,但是对用户也不是很友好),所以把这个接口独立出来由前端自己控制调用的时机,避免用户在oauth/index中等待太久
接口1:(调用腾讯API获取用户信息,并且后台在数据库中完成缓存)
oauth/get-user-info-refresh中:
- 以curl方式整合GET参数向https://graph.qq.com/user/get_user_info 发起请求,得到的用户信息(json格式)
- 选择必要的部分(这里和UI商量一下,哪些是要的)存入后台数据库(会以序列化方式存储),并将数据打包发给前端(json)。
接口2:(直接调用后台数据库里的缓存内容)
oauth/get-user-info中:
- 从数据库中取缓存数据,直接打包发给前端(json)。
因为请求用户信息的腾讯API有调用上限,所以前端尽可能使用第二个接口。前端觉得有必要的话可以做头像等信息的本地缓存。
关闭浏览器后重新自动登录
关闭浏览器之后,session会自动失效,当下一次访问到来时,只存在cookie,此时后端会根据cookie存储的user_id,获取对应数据库中的openId,将其加密后与cookie中的对比,如果一致则登录成功,设置session为user_id,失败则不登录并且清空该错误的cookie。
(P.S,正常登陆后,后台比对cookie发来的获取access_token的时间戳和当前时间戳的时长,超过三个月就用refresh_token刷新access_token。
