微博授权都是先获取code再去换token,为什么有的应用“跳过”了code?

2013-09-27 01:19:56 +08:00
 strak47
除了站内应用,貌似都是这么个过程。我用python sdk 也经常很囧地让用户复制code来换access_token。

可是有的第三方网站应用,登录授权后回到了redirect_url的页面,但url上并没有 xxx?code=xxx 这串东西,而且实际上已经拿到了token并可以进一步调用其他API了。

所以我想请教一下那些是怎么实现的?
4564 次点击
所在节点    问与答
9 条回复
hadoop
2013-09-27 08:00:06 +08:00
难道不可以自己模拟登陆吗
Mutoo
2013-09-27 09:14:56 +08:00
通过透明flash的localConnection实现的。
linuz
2013-09-27 09:41:18 +08:00
lz可以看下0auth 2.0的文档,里面提到为方便移动设备webapp的隐式调用,sina调用如下:
https://api.weibo.com/oauth2/authorize?client_id=XXXXXXX&response_type=token&display=mobile&redirect_uri=https://api.weibo.com/oauth2/default.html
这样就会返回https://api.weibo.com/oauth2/default.html?access_token=2.0XXXXXXXXXXXXXXX
虽然sina 文档里面没提,但确实是实现了
alanoy
2013-09-27 10:02:38 +08:00
@linuz 你这个,response_type 我新申请的应用貌似不行,必须为 code,以前申请的应用好像就可以,太蛋疼
belin520
2013-09-27 10:28:31 +08:00
有。乌云上有一个绕过 App Secret 拿到token的bug
linuz
2013-09-27 10:37:13 +08:00
@alanoy 我刚才重新创建一个应用,这种隐式调用确实是可以使用的
创建移动应用->应用分类:网页应用 即可
授权回调页要和redirect_uri一致即可
strak47
2013-09-27 10:59:31 +08:00
@linuz 感谢回复!
我自己也发现那些应用怎么弄得了,其实他们把redirect_url设为另一个子页面,然后在这个页面处理code和token再重定向回主页面而已。

貌似有的人误解我意思了,跟模拟登录和绕过app secret什么的没关系 :)
alanoy
2013-09-27 11:36:27 +08:00
@linuz 难道因为我创建的是移动应用么?
linuz
2013-09-27 11:59:59 +08:00
@alanoy 对,我说的那个隐式调用是为了方便web app,因为web app代码安全性太差,native app最好使用sso验证,或者利用webview来使用隐式调用

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/83824

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX