微博授权都是先获取code再去换token，为什么有的应用“跳过”了code？ - V2EX

Home Sign Up Sign In

This topic created in 4646 days ago, the information mentioned may be changed or developed.

除了站内应用，貌似都是这么个过程。我用python sdk 也经常很囧地让用户复制code来换access_token。

可是有的第三方网站应用，登录授权后回到了redirect_url的页面，但url上并没有 xxx?code=xxx 这串东西，而且实际上已经拿到了token并可以进一步调用其他API了。

所以我想请教一下那些是怎么实现的？

9 replies • 1970-01-01 08:00:00 +08:00

1

hadoop

Sep 27, 2013

难道不可以自己模拟登陆吗

2

Mutoo

Sep 27, 2013

通过透明flash的localConnection实现的。

3

linuz

Sep 27, 2013

lz可以看下0auth 2.0的文档，里面提到为方便移动设备webapp的隐式调用，sina调用如下：
https://api.weibo.com/oauth2/authorize?client_id=XXXXXXX&response_type=token&display=mobile&redirect_uri=https://api.weibo.com/oauth2/default.html
这样就会返回https://api.weibo.com/oauth2/default.html?access_token=2.0XXXXXXXXXXXXXXX
虽然sina 文档里面没提，但确实是实现了

4

alanoy

Sep 27, 2013

@linuz 你这个，response_type 我新申请的应用貌似不行，必须为 code，以前申请的应用好像就可以，太蛋疼

5

icanfork

Sep 27, 2013

有。乌云上有一个绕过 App Secret 拿到token的bug

6

linuz

Sep 27, 2013

@alanoy 我刚才重新创建一个应用，这种隐式调用确实是可以使用的
创建移动应用->应用分类:网页应用即可
授权回调页要和redirect_uri一致即可

7

strak47

OP

Sep 27, 2013

@linuz 感谢回复！
我自己也发现那些应用怎么弄得了，其实他们把redirect_url设为另一个子页面，然后在这个页面处理code和token再重定向回主页面而已。

貌似有的人误解我意思了，跟模拟登录和绕过app secret什么的没关系：)

8

alanoy

Sep 27, 2013

@linuz 难道因为我创建的是移动应用么？

9

linuz

Sep 27, 2013

@alanoy 对，我说的那个隐式调用是为了方便web app，因为web app代码安全性太差，native app最好使用sso验证，或者利用webview来使用隐式调用

About · Help · Advertise · Blog · API · FAQ · Solana · 3018 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 37ms · UTC 13:33 · PVG 21:33 · LAX 06:33 · JFK 09:33
♥ Do have faith in what you're doing.