是否可以在没有重定向服务器的情况下使用OAuth 2.0？

朱丰

2023-03-14

问题内容：

我正在尝试创建一个与SurveyMonkey API交互的基于Java的本地客户端。

SurveyMonkey需要使用OAuth 2.0的长期访问令牌，我对此不太熟悉。

我已经搜索了几个小时，但我认为答案是否定的，但我只想确定一下：

我是否可以编写一个与SurveyMonkey交互的简单Java客户端， 而无需在某些云中设置自己的重定向服务器 ？

我觉得必须拥有自己的在线服务才能接收OAuth 2.0生成的承载令牌。我可能无法让SurveyMonkey直接将承载令牌发送给我的客户端吗？

如果我要在某个地方设置自己的自定义Servlet，并将其用作redirect_uri，则正确的流程如下：

这样对吗？

问题答案：

不完全是，OAuth流程的全部要点是用户（您要代表其访问数据的客户端）需要授予您访问其数据的权限。

请参阅身份验证说明。您需要将用户发送到OAuth授权页面：

https://api.surveymonkey.net/oauth/authorize?api_key<your_key>&client_id=<your_client_id>&response_type=code&redirect_uri=<your_redirect_uri>

这将向用户显示一个页面，告诉他们您请求访问帐户的哪一部分（例如，查看他们的调查，查看他们的回复等）。一旦用户通过单击该页面上的“授权”批准了该操作，SurveyMonkey将自动转到您设置为重定向URI的任何位置（确保上面url中的一个与您在应用程序设置中设置的内容相匹配）
。

因此，如果您的重定向URL为https://example.com/surveymonkey/oauth，SurveyMonkey将使用以下代码将用户重定向至该URL：

https://example.com/surveymonkey/oauth?code=<auth_code>

您需要获取该代码，然后通过https://api.surveymonkey.net/oauth/token?api_key=<your_api_key>对以下post参数进行POST请求来将其交换为访问令牌：

client_secret=<your_secret>
code=<auth_code_you_just_got>
redirect_uri=<same_redirect_uri_as_before>
grant_type=authorization_code

这将返回访问令牌，然后您可以使用该访问令牌来访问用户帐户上的数据。您不将访问令牌提供给用户，而是用于您访问用户帐户的令牌。无需轮询或任何其他操作。

如果您只是访问自己的帐户，则可以使用应用程序设置页面中提供的访问令牌。否则，如果不设置您自己的重定向服务器，就无法获取用户的访问令牌（除非所有用户都与您属于同一组，即同一帐户下有多个用户；但我不会参与其中）。用户授权后，SurveyMonkey需要一个向您发送代码的地方，您不能只请求一个。