提供主流cms教程
提供数据库教程和设计
提供各种常见网页js代码
提供常用的JS特效代码及在线演示
提供jQuery插件教程及插件下载
提供服务器常见问题及教程
提供站长技术、站长资讯等内容
提供常用开发手册和开发工具
您现在的位置：& >
搜集来的如何使用Authorization_Code获取Access_Token教程
导读：简介采用Authorization Code获取Access Token的授权验证流程又被称为Web Server Flow，适用于所有有Server端的应用，如Web/Wap站点、有...
采用Authorization Code获取Access Token的授权验证流程又被称为Web Server Flow，适用于所有有Server端的应用，如Web/Wap站点、有Server端的手机/桌面客户端应用等。其流程示意图如下：&&　　　　　　　　　　　　　　　图1：Authorization Code流程
对于应用而言，其流程由获取Authorization Code和通过Authorization Code获取Access Token这2步组成。
其获取方式是通过重定向用户浏览器（或手机/桌面应用中的浏览器组件）到 &&地址上，并带上以下参数：
申请组件时获得的API Key
response_type
此值固定为&code&
redirect_uri
授权后要回调的URI，即接收Authorization Code的URI。
对于无Web Server的应用，其值可以是&oob&，此时用户同意授权后，
授权服务会将Authorization Code直接显示在响应页面的页面中及页面
以空格分隔的权限列表，若不传递此参数，代表请求默认的basic权限。
如需调用扩展权限，必需传递此参数，详细请参考
用于保持请求和回调的状态，防止第三方应用受到CSRF攻击。授权服务器在回调时（重定向用户浏览器到
&redirect_uri&时），会原样回传该参数（如果state是0或false，接口会认为没有传递state参数）。
请务必遵守流程传入state并进行合法性检查。
登录和授权页面的展现样式，默认为&page&。手机访问时，此参数无效
oauth_client
是否为手机访问。手机访问：oauth_client=1；不是手机，无需此参数
forcelogin
是否强制登录。强制登录：forcelogin=1；不强制登录，无需此参数
例如：&client_id&为&Va5yQRHlA4Fq4eR3LT0vuXV4&的应用要请求某个用户的默认权限，并在授权后需跳转到&&，同时希望在弹出窗口中展现用户登录、授权界面，则应用需要重定向用户的浏览器到如下URL：
/oauth2/authorize?
response_type=code&
client_id=Va5yQRHlA4Fq4eR3LT0vuXV4&
redirect_uri=http%3A%2F%%2Foauth_redirect&
scope=basic&
display=popup
此时授权服务会根据应用传递参数的不同，为用户展现不同的授权页面。如果用户在此页面同意授权，授权服务则将重定向用户浏览器到应用所指定的&redirect_uri&，并附带上表示授权服务所分配的Authorization Code的code参数，以及state参数（如果请求authorization code时带了这个参数）。
例如：继续上面的例子，假设授权服务在用户同意授权后生成的Authorization Code为&ANXxSNjwQDugOnqeikRMu2bKaXCdlLxn&，则授权服务将会返回如下响应包以重定向用户浏览器到&&地址上：
HTTP/1.1 200 OK
Location: /oauth_redirect?code=ANXxSNjwQDugOnqeikRMu2bKaXCdlLxn
① &code&参数可以在&redirect_uri&对应的应用后端程序中获取。
② 每一个Authorization Code的有效期为10分钟，并且只能使用一次，再次使用将无效。
通过上面第一步获得Authorization Code后，便可以用其换取一个Access Token。获取方式是，应用在其服务端程序中发送请求（推荐使用POST）到 开心网OAuth2.0授权服务的&&地址上，并带上以下5个必须参数：
grant_type
此值固定为&authorization_code&
通过上面第一步所获得的Authorization Code
应用的API Key
client_secret
应用的Secret Key
redirect_uri
该值必须与获取Authorization Code时传递的&redirect_uri&保持一致
/oauth2/access_token?
grant_type=authorization_code&
code=ANXxSNjwQDugOnqeikRMu2bKaXCdlLxn&
client_id=Va5yQRHlA4Fq4eR3LT0vuXV4&
client_secret=0rDSjzQ20XUj5itV7WRtznPQSzr5pVw2&
redirect_uri=http%3A%2F%%2Foauth_redirect
若参数无误，服务器将返回一段JSON文本，包含以下参数：
access_token
要获取的Access Token
expires_in
Access Token的有效期，以秒为单位
refresh_token
用于刷新Access Token 的 Refresh Token
Access Token最终的访问范围，即用户实际授予的权限列表（用户在授权页面时，有可能会取消掉某些请求的权限）
HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
&access_token&: &_de81cfe747ad7e06f2a904e73646f04c&,
&expires_in&: 2592000,
&refresh_token&: &9bd04b513c4abb880e48f21cee542&,
&scope&: &basic&,
若请求错误，服务器将返回一段JSON文本，包含以下参数：
HTTP/1.1 400 Bad Request
Content-Type: application/json
Cache-Control: no-store
&error_code&:&400&,
&request&:&\/oauth2\/access_token&,
&error&:&40018:Error: 提供的Access Grant是无效的、过期的或已撤销的，例如，Authorization Code无效、Refresh Token无效、redirect_uri与获取Authorization Code时提供的不一致等&
转载请注明（B5教程网）原文链接：新驴上路，请教各位大侠海淘支付的“authorization code”问题
查看：10960 | 回复：3
本帖最后由 轩辕宝珠 于
18:18 编辑
请教一下，REI和MOOSEJAW下单成功，已收到订单确认邮件，用工行多币种信用卡付的款，有收到预授权确认短信，现在在发货前两家网都要authorization code，***联系银行，***说不知道是什么。。。这个哪里有查？
WINGSUIT FLYING
MOUNTAINEERING
江西周边推荐
当季热门推荐
本帖最后由 轩辕宝珠 于
11:14 编辑
问题已解决，写在这里，如果之后谁遇到了可以参考这么做。
所谓“authorization code”，是海外交易时产生的，每笔交易对应一组6-7位的数字，和卡背面的三位数没关系，也有小银行是在卡的正面印刷的固定数字（据说）。因为是随机的所以每笔交易都需要***至银行***中心去要这个码。银行员工的职业熟悉程度普遍参差不齐，建议作如下简短交流“我有一笔XXX元的X币海外交易，已经预授权成功，请告知我授权码”，如果接***的***表示不知道，建议你友好的挂掉后重新打，直到遇到二话不说给你授权码的为止。
本帖最后由 轩辕宝珠 于
11:23 编辑
针对大家常去的REI和MOOSEJAW的verify payment.
1.REI 邮件上要求三种方式，第一是授权码确认；第二是你结账使用的信用卡正反面+***/护照/驾照正反面；第三是近期的银行对账单。后两种都请隐去个人信息哦。
2.MOOSEJAW 家提供两种方式，第一是授权码确认，这个没什么好说的；第二是charged ,在征得你同意后，从付款卡上预授权一个小于3USD的带小数点的金额，然后要求你邮件回答是多少。
两件回复邮件都比较快，REI基本是当天，MOOSEJAW是一个工作日。然后邮件回复的话，REI家直接回复即可，MOOSEJW家建议回复主页上联系我们的那个邮件地址，直接回复的感觉石沉大海了~
谢元15 发表于
好帖要顶,楼主的头像还是不错滴
有帮助就好，谢谢啦~
绑定QQ账号，轻松分享到QQ空间与腾讯微博