授权码模式是最安全的OAuth 2.0流程,用户登录授权后重定向返回code,后端用code+client_id/client_secret换取access_token,再安全存储并代理调用API。
理解授权码模式的核心流程
授权码模式(Authorization Code Flow)是OAuth 2.0中最安全、最常用的客户端认证方式,特别适合有后端服务的Web应用。它不直接暴露访问令牌(Access Token)给前端,而是通过中间“授权码”(Authorization Code)中转,由后端用该码向授权服务器换令牌。
关键步骤:用户跳转到授权服务器登录 → 授权成功后重定向回你的回调地址并附带code → 你的后端用code + client_id/client_secret向授权服务器请求access_token → 拿到token后调用受保护API。
准备客户端凭据与注册回调地址
在使用前,必须在目标授权服务器(如GitHub、Google、或自建IdentityServer)上注册你的应用,获取:
-
Client ID(公开标识,可出现在前端)
-
Client Secret(敏感信息,只用于后端,绝不能写在JS或客户端代码里)
-
Redirect URI(必须精确匹配,含协议、域名、路径甚至尾部斜杠;例如https://yourapp.com/auth/callback)
注意:开发时本地调试常用http://localhost:5000/auth/callback,但需在平台白名单中显式添加,部分平台(如Google)不接受纯localhost或带端口的HTTP回调,此时可用http://127.0.0.1:5000/...或临时启用HTTPS。
后端实现授权码交换(以ASP.NET Core为例)
在控制器中处理回调请求,用HttpClient向授权服务器的/token端点发起POST请求,传入code、client_id、client_secret、redirect_uri和grant_type。
示例(简化版,生产环境建议用IHttpClientFactory和强类型模型):
// 假设已从Query中获取 code
var tokenRequest = new Dictionary
{
["grant_type"] = "authorization_code",
["code"] = code,
["redirect_uri"] = "https://yourapp.com/auth/callback",
["client_id"] = "your_client_id",
["client_secret"] = "your_client_secret"
};
using var client = new HttpClient();
var response = await client.PostAsync(
"https://auth.example.com/oauth/token",
new FormUrlEncodedContent(tokenRequest)
);
var json = await response.Content.ReadAsStringAsync();
// 解析返回的JSON,提取 access_token、expires_in、refresh_token等
推荐用Newtonsoft.Json或System.Text.Json反序列化响应,检查response.IsSuccessStatusCode,并妥善处理错误(如invalid_grant、invalid_client)。
安全存储与使用令牌
拿到access_token后,不要存入Cookie或LocalStorage(易被XSS窃取)。推荐方式:
- 后端会话(Session)或分布式缓存(如Redis),绑定当前用户ID
- 若需前端调用API,由后端代理请求(即前端请求
/api/me,后端用token去调https://api.example.com/me)
- 如必须透传token给前端,使用HttpOnly+Secure Cookie存放,并配合SameSite=Lax
记得校验token有效期(expires_in字段),必要时用refresh_token静默刷新——同样需后端发起,且refresh
_token通常单次有效、需轮换。
基本上就这些。授权码模式本身不复杂,但细节(比如redirect_uri严格匹配、client_secret保密、token存储方式)容易忽略,直接影响安全性。
_token通常单次有效、需轮换。