什么是正确的授权码 OAuth2 流程？

Question

我目前对 OAuth2.0 授权代码流程不熟悉，我已经阅读了很多关于它的文章，目前我仍然不知道如何正确实施它。到目前为止，我对流程的了解：

1. 用户使用 OAuth 登录
2. 用户被重定向到授权服务器获取授权码
3. 权限/范围回调
4. 重定向到授权服务器以获取访问令牌以换取授权码
5. 使用访问令牌重定向回客户端
6. 客户端使用访问令牌访问资源服务器。

现在，我仍然困惑的是登录验证应该从哪里来（用户名的登录 - 密码）？是否在进入 OAuth 流程之前进行单独的验证，一旦用户有效，就应该返回流程？

Answer 1

我有一些资源可以解释OAuth 2.0 using Google Sign in as an example。让我试着根据你的问题改写一下。

我们以用户使用“使用 Google 登录”登录对讲机为例。

1. 用户按下“使用 Google 登录”按钮。这将重定向到身份提供者/authorize 端点（每个提供者可能不同），这些端点会转到他们的登录页面。
2. 用户被重定向到 Google 的帐户页面。如果尚未登录，用户可以在此处输入他们的 Google 电子邮件/密码。
3. Google 使用 authorization_code 重定向回对讲机（例如，它重定向到 https://intercom.com/authcallback?code=XYZ...）
4. Intercom 的后端服务器发送 authorization_code 和 client_id 和 client_secret（来自他们在 google 的项目），并接收 access_token（通常发送到 /token 端点）
5. Intercom 然后可以使用access_token 从 Google 访问用户的个人资料。

为了回答您的问题，用户可以在 OAuth 提供商的页面中输入他们的电子邮件/密码。请记住，OAuth 2.0 并未指定提供商如何对用户进行身份验证。这意味着，OAuth 提供者可以通过不同的方式验证他们的用户，例如电子邮件/密码、email magic-link, SMS OTP 等。您的网站应该相信 OAuth 提供者他们正在为您正确地验证用户。

---

一些额外的资源可以帮助您更多地了解 OAuth 2.0：

• How to store the OAuth 2.0 access and refresh token in your front end
• Picking the right OAuth 2.0 flow

Answer 2

登录验证来了（登录用户名 - 密码）？

OAuth 2.0 NOT an Authentication protocol

The OAuth 2.0 specification defines a delegation protocol

用户名 - 密码的任何使用都在 OAuth 2.0 之外，您应该查看 Open ID Connect，它是建立在 OAuth 2.0 之上的身份验证协议。

Best current Practice for Authorization Code flow 是在 OAuth 或 OpenID Connect 上使用 PKCE。

Answer 3

通常的解决方案是使用成熟的安全库将 OAuth 2.0 和 Open Id Connect 从您的代码中外部化。当您不熟悉这种类型的安全性时，会有一个学习曲线。我的资源会让您了解它们是如何组合在一起的：

• Code Sample
• Tutorial Blog Post

您集成的库取决于您使用的技术堆栈。以上资源适用于单页应用和 NodeJS API。