准备功夫:
我方(自己网站或应用)在第三方平台注册账号,第三方平台给出一个对应的APPID和SECRETKEY。
授权:
我方引导客人到第三方平台确认授权。确认后,第三方平台向我方发送即时确认信息(附带一个临时令牌),我方获取到信息之后,即时向第三方平台申请客人在我方对应的身份ID(始终唯一)和服务密码(有时限),这个身份ID和服务密码跟客户在第三方平台上的ID和密码是不同的内容。保存好数据后,授权过程就算完成了。
应用:
在授权期间,我方利用保存的客人的第三方平台身份ID和服务密码,调用第三方平台提供的API操作用户资料(获取昵称、头像、发布微博等等)。具体权限内容取决于客户在第三方平台上的设定。
具体操作方式:
新浪微博开放平台
/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6%E8%AF%B4%E6%98%8E#Web.E5.BA.94.E7.94.A8.E7.9A.84.E9.AA.8C.E8.AF.81.E6.8E.88.E6.9D.83
腾讯社区开放平台
http://wiki./wiki/%E3%80%90QQ%E7%99%BB%E5%BD%95%E3%80%91%E4%BD%BF%E7%94%A8Implicit_Grant%E6%96%B9%E5%BC%8F%E8%8E%B7%E5%8F%96Access_Token
我方如何引导客人到第三方平台确认授权?网站的话,打开第三方平台的授权网页,网址上带上参数:我方在第三方平台的APPID+授权后的回调网址。
为什么授权后,第三方平台不直接发送客户的身份ID和服务密码到我方,而是要我方发送一次请求确认?安全问题吧,大家约定俗成的方式,这是OAuth2.0的内容。授权页面不需要我方操作就可以打开,APPID也是公开的,也就是说,不需要我方操作就可以进行授权。可能这就是为什么要我方再向第三方平台发送请求(带上授权返回的信息)。
