理解授权码模式的核心流程
授权码模式(Authorization Code Flow)是OAuth 2.0中最安全、最常用的客户端认证方式,特别适合有后端服务的Web应用。它不直接暴露访问令牌(Access Token)给前端,而是通过中间“授权码”(Authorization Code)中转,由后端用该码向授权服务器换令牌。
关键步骤:用户跳转到授权服务器登录 → 授权成功后重定向回你的回调地址并附带code → 你的后端用code + client_id/client_secret向授权服务器请求access_token → 拿到token后调用受保护API。
准备客户端凭据与注册回调地址
在使用前,必须在目标授权服务器(如GitHub、Google、或自建IdentityServer)上注册你的应用,获取:
Client ID(公开标识,可出现在前端) Client Secret(敏感信息,只用于后端,绝不能写在JS或客户端代码里) Redirect URI(必须精确匹配,含协议、域名、路径甚至尾部斜杠;例如https://yourapp.com/auth/callback)注意:开发时本地调试常用http://localhost:5000/auth/callback,但需在平台白名单中显式添加,部分平台(如Google)不接受纯localhost或带端口的HTTP回调,此时可用http://127.0.0.1:5000/...或临时启用HTTPS。
后端实现授权码交换(以ASP.NET Core为例)
在控制器中处理回调请求,用
HttpClient向授权服务器的
/token端点发起POST请求,传入code、client_id、client_secret、redirect_uri和grant_type。
示例(简化版,生产环境建议用
IHttpClientFactory和强类型模型):
// 假设已从Query中获取 code
var tokenRequest = new Dictionary<string, string>
{
["grant_type"] = "authorization_code",
["code"] = code,
["redirect_uri"] = "https://yourapp.com/auth/callback",
["client_id"] = "your_client_id",
["client_secret"] = "your_client_secret"
};
using var client = new HttpClient();
var response = await client.PostAsync(
"https://auth.example.com/oauth/token",
new FormUrlEncodedContent(tokenRequest)
);
var json = await response.Content.ReadAsStringAsync();
// 解析返回的JSON,提取 access_token、expires_in、refresh_token等
推荐用Newtonsoft.Json或System.Text.Json反序列化响应,检查
response.IsSuccessStatusCode,并妥善处理错误(如invalid_grant、invalid_client)。
安全存储与使用令牌
拿到
access_token后,不要存入Cookie或LocalStorage(易被XSS窃取)。推荐方式: 后端会话(Session)或分布式缓存(如Redis),绑定当前用户ID 若需前端调用API,由后端代理请求(即前端请求
/api/me,后端用token去调
https://api.example.com/me) 如必须透传token给前端,使用HttpOnly+Secure Cookie存放,并配合SameSite=Lax
记得校验token有效期(
expires_in字段),必要时用
refresh_token静默刷新——同样需后端发起,且refresh_token通常单次有效、需轮换。 基本上就这些。授权码模式本身不复杂,但细节(比如redirect_uri严格匹配、client_secret保密、token存储方式)容易忽略,直接影响安全性。
