Laravel 8 将授权码转化为访问令牌
如果用户通过了授权请求,会被重定向回客户端应用。客户端应用首先会验证之前传递给授权服务方的 state
参数。 如果该参数与之前传递的参数值匹配,则客户端会发起一个 POST
请求到服务端来请求一个访问令牌。该请求应包含用户通过授权请求时指定的授权码。在下面的例子中, 我们会使用 Guzzle HTTP 库来生成 POST
请求:
Route::get('/callback', function (Request $request) {
$state = $request->session()->pull('state');
throw_unless(
strlen($state) > 0 && $state === $request->state,
InvalidArgumentException::class
);
$http = new GuzzleHttp\Client;
$response = $http->post('http://your-app.com/oauth/token', [
'form_params' => [
'grant_type' => 'authorization_code',
'client_id' => 'client-id',
'client_secret' => 'client-secret',
'redirect_uri' => 'http://example.com/callback',
'code' => $request->code,
],
]);
return json_decode((string) $response->getBody(), true);
});
/oauth/token
路由返回的 JSON 响应中应包含 access_token
、 refresh_token
和 expires_in
属性。expires_in
属性包含访问令牌的过期时间(单位:秒)。
技巧:和
/oauth/authorize
路由一样,/oauth/token
路由在Passport::routes
方法中定义了,你没必要去手动定义它。默认情况下,该路由使用ThrottleRequests
中间件设置对访问频率进行限制。