Клиентская OAuth-авторизация в ОК
Чтобы реализовать клиентскую OAuth-авторизацию, подготовьте приложение, откройте диалог авторизации, организуйте работу с правами доступа и получите Access token.Как настроить приложение
Чтобы использовать клиентскую OAuth-авторизацию:- Включите ее в настройках вашего приложения.
Настройка в приложении
- Там же укажите redirect_uri, который будет использоваться во время авторизации OAuth.
| Тип | Описание | Пример |
|---|---|---|
| Android SDK | okauth://ok{app_id} — вместо {app_id} необходимо подставить id приложения | okauth://ok123456 |
| iOS SDK | ok{app_id}://authorize — вместо {app_id} необходимо подставить id приложения | ok123456://authorize |
| External | URI, который будет обрабатывать авторизацию, — можно использовать https://oauth.mycdn.me/blank.html | http://localhost/auth |
Шаг 1. Как открыть диалог авторизации OAuth
Убедитесь, что указали redirect_uri в настройках приложения. Чтобы начать процесс авторизации, откройте новое окно браузера или webView и реализуйте переход на специально сформированный URL: https://connect.ok.ru/oauth/authorize?client_id={clientId}&scope={scope}&response_type ={{response_type}}&redirect_uri={redirectUri}&layout={layout}&state={state}| Параметр | Обязательность | Описание |
|---|---|---|
| client_id | Да | Идентификатор приложения application id |
| scope | Да | Запрашиваемые права приложения, разделенные символом ; |
| response_type | Да | Тип ответа от сервера. Укажите token |
| redirect_uri | Да | URI, куда будет передан access_token. Должен посимвольно совпадать с одним из URI, зарегистрированных в настройках приложения. Часть URI после символа ? (query) не учитывается при проверке. Для передачи данных, которые меняются динамически, рекомендуем использовать параметр state |
| layout | Нет | Внешний вид окна авторизации: w – стандартное окно для полной версии сайта, используется по умолчанию, m – окно для мобильной авторизации, a – упрощенное окно для мобильной авторизации без шапки |
| state | Нет | Параметр состояния, который в неизменном виде пробрасывается в redirect_uri. Позволяет передавать произвольные данные между разными фазами OAuth и защищаться от xsrf |
Шаг 2. Как происходит работа с правами доступа
Если пользователь выдал приложению все права, указанные в параметре scope, то окно автоматически закрывается и дополнительное подтверждение от пользователя не требуется. После перехода по сформированному URL пользователь должен будет ввести свой логин и пароль, если не сделал этого ранее. После входа на сайт ему будет предложено авторизовать приложение и подтвердить запрошенные права.Разрешение прав
Шаг 3. Как получить Access token
После подтверждения авторизации пользователь перенаправляется на указанный при открытии диалога авторизации redirect_uri. В адресе после символа # будут переданы параметры access_token и session_secret_key, а также state, если он был указан на 1 шаге. {redirect_uri}#access_token={access_token}&session_secret_key={session_secret_key}&state= {state}&permissions_granted={permissions_granted}&expires_in={expires_in}| Параметр | Описание |
|---|---|
| access_token | Токен доступа, который используется для формирования запроса к API |
| session_secret_key | Секретный сессионный ключ, который используется для подписи запроса к API |
| state | Значение, которое было передано в параметре state при открытии диалога авторизации |
| permissions_granted | Права, выданные пользователем приложению |
| expires_in | Время действия токена в секундах |
Возможные ошибки
| Ошибка | Описание |
|---|---|
| invalid_request | Invalid code — передан неверный code; Expired code — время действия code истекло; Wrong redirect_uri — redirect_uri отличается от переданного на этапе OAuth |
| invalid_client | Unknown client — не удалось найти указанное приложение |
| unauthorized_client | Invalid request parameters — указан неверный секретный ключ приложения |
| access_denied | Access denied — пользователь не авторизовал приложение, например, удалил его в настройках; Refresh token expired — время действия refesh_token истекло; Logout all — пользователь вышел со всех устройств |
| invalid_grant | Invalid grant type или Invalid parameters for grant type — не удалось распознать параметр grant_type |
| invalid_token | Session expired — не удалось определить пользователя; Invalid refresh token / Invalid refresh token structure / Invalid refresh token, user not found — refresh_token был передан неверно |