raywenderlich OAuth 学习笔记

## 目的

- 通过 token，而不是用户名和密码实现用户身份验证
- 可以限制能够访问得到的数据的范围来提升安全性

## 方法

- 流程：用户登录第三方网站，输入用户名密码，第三方返回 token
- 实现：使用 OAuth Swift 框架（做了很好的抽象

## 例子：Strava

从第三方注册 app，获取信息
￼
![image](https://user-images.githubusercontent.com/10842684/57186907-23c8aa00-6eb5-11e9-86b8-63d43101f5f8.png)

使用 OAuth Swift：
￼
![image](https://user-images.githubusercontent.com/10842684/57186909-2cb97b80-6eb5-11e9-98d1-47053acf1888.png)

配置 Deep Link 回 App：

![image](https://user-images.githubusercontent.com/10842684/57186911-317e2f80-6eb5-11e9-89fc-f727b09a8df4.png)
￼
打开 App 时完成验证，关闭 web view
￼
![image](https://user-images.githubusercontent.com/10842684/57186918-380ca700-6eb5-11e9-8f54-5de38ec3bd1b.png)

把 access token 传入请求的 authorization header 里：

![image](https://user-images.githubusercontent.com/10842684/57186921-3cd15b00-6eb5-11e9-811d-451c34a198fb.png)
￼
## 扩展阅读

- User defaults 不是存储 token 的好地方，应该使用 keychain，没有找视频教程，可以看文章
- OAuth 服务端的实现参考 https://docs.vapor.codes/3.0/auth/api/
  - 不要存储明文密码到数据库
  - Ray 其他的 vapor 视频里提到了 Turnstile，有兴趣可以仔细研究什么情况
- bilibili 现在使用的是 session 式的用户认证（随 cookie 发送用户当前 session 信息）

## 参考资料

OAuth2: https://www.raywenderlich.com/5034-accessing-data-using-oauth


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

raywenderlich OAuth 学习笔记 #101

目的

方法

例子：Strava

扩展阅读

参考资料

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

raywenderlich OAuth 学习笔记 #101

Description

目的

方法

例子：Strava

扩展阅读

参考资料

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions