前后端分离的页面在请求第三方授权时如何保证授权 token 可以绑定到当前账号

2020-04-24 16:00:04 +08:00

DoUSeeMe

一定要认真地看下我的前提，一定要认真地看下我的前提，一定要认真地看下我的前提！！！

前提：

前后端分离的页面请求第三方授权，也就是使用页面本身使用 jwt 鉴权然后另外请求第三方授权
请求授权的第三方 url 固定
第三方授权回调的 url 不允许带有 query，如果使用 domain/auth/id_123 这种回调格式可行，但需要在第三方的后台去一个个填写地址，这显然不能实现
不使用 Session
第三方不提供给回调同时返回的可设置的变量

问题：如当前的用户 A 需要请求第三方授权，获取第三方授权后返回的 token 该如何确定是 A 发出的请求授权？

3517 次点击

所在节点

28 条回复

DoUSeeMe

2020-04-24 22:09:18 +08:00

@mxT52CRuqR6o5 文档没说不许带，不过我就算是只加了个 “?” 在 url 后面，PayPal 就会报错 redirect_uri 格式无效

huijiewei

2020-04-24 22:31:16 +08:00

@DoUSeeMe redirect_uri url_encode 没有

lewinlan

2020-04-25 00:19:20 +08:00

不许带 query，不用问号不就得了？
用斜杠划分 token 呗

index90

2020-04-25 00:34:21 +08:00

所以用第三方登录的时候，从第三方鉴权回来后，要么自动给你创建一个以第三方账号 id 作为用户 id 的本地账号。要么走注册流程，要求用户输入邮箱等信息。要么用户提前在配置页绑定好第三方账号。

blessyou

2020-04-25 00:54:13 +08:00

@DoUSeeMe #21 .... 你可以去一下我的网站的第三方登录按钮的信息，我看了 PayPal 的文档和 Google Github 的一模一样。你文档没看懂而已。https://happysooner.com/login-and-register

b821025551b

2020-04-26 09:00:04 +08:00

@DoUSeeMe #21 redirect_uri 是你提供给第三方回调的地址，当然不需要你去加 query 并且不可提供 query 啊，query 内容是第三方返回给你的。。。

DoUSeeMe

2020-04-26 09:16:38 +08:00

@huijiewei 肯定有的

NoKey

2020-04-26 10:41:06 +08:00

马一个，围观

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.