用c++发带authorization头的http请求需用libcurl设置bearer token:先获取access_token,再通过curl_slist_append()添加"authorization: bearer "和"content-type: application/json"头;post换token时body须为x-www-form-urlencoded格式并正确编码参数。
怎么用C++发带Authorization头的HTTP请求
OAuth2本质是HTTP协议交互,C++没内置OAuth库,得靠HTTP客户端拼Header和Body。核心就两点:拿到access_token后,所有受保护接口都得在请求头加Authorization: Bearer <access_token></access_token>;别漏了Content-Type: application/json(尤其POST时)。
常见错误是把token直接塞进URL或当query参数传——服务端直接401。也有人用Basic头去传OAuth token,这完全错乱了认证类型。
- 推荐用
libcurl(稳定、跨平台),别手写socket发HTTP - 设置Header必须用
curl_slist_append()逐条加,不能拼字符串后一次性设 -
access_token可能含特殊字符(如点、下划线、+/=),但Bearer方案里不用URL编码,原样传 - 别硬编码
https://前缀到token里——token本身不含协议,只是一串凭据
POST /oauth/token 换access_token的坑
这是OAuth2最常卡住的一步:客户端凭client_id、client_secret、code(授权码模式)或refresh_token(刷新模式)向授权服务器换access_token。不是所有字段都必填,取决于你用的是哪种grant_type。
典型400错误信息是{"error":"invalid_request","error_description":"Missing required parameter: grant_type"}——说明body里漏了grant_type,或者用了空格/大小写不一致(必须小写authorization_code或refresh_token)。
立即学习“C++免费学习笔记(深入)”;
- Body必须是
application/x-www-form-urlencoded格式,不是JSON(即使返回是JSON) -
client_id和client_secret若含特殊字符,必须URL编码;code和redirect_uri也要严格匹配申请应用时填的值 - 某些厂商(如GitHub)要求
redirect_uri必须和申请时完全一致,连末尾/都不能多或少 - 响应里的
expires_in是秒数,不是时间戳,别直接当成time_t存
如何安全存access_token和refresh_token
token不是密码,但泄露等于账号被控。C++没语言级密钥管理,只能靠工程约束。
常见错误是把access_token写死在源码里、存在明文配置文件、或用std::string长期持有后不及时清零——内存dump可能被提取。
- 运行时用
std::vector<char></char>或std::unique_ptr<uint8_t></uint8_t>存token,并在不用后立刻memset清零 - 持久化必须加密:用系统密钥(Windows DPAPI / macOS Keychain / Linux secret service)封装,别自己实现AES
-
refresh_token比access_token更敏感,有些服务(如Google)一用即失效,用完就得删掉旧的再存新的 - 别用
getenv("TOKEN")从环境变量读——进程列表里可能暴露
refresh_token过期或失效时怎么处理
OAuth2没“自动续期”机制。refresh_token本身也有过期时间(有的永不过期,有的90天),而且多数服务在用户主动撤回授权、或连续多次刷新失败后会作废它。
错误现象是调/oauth/token返回{"error":"invalid_grant"}。这时候不能重试,得引导用户重新走授权流程。
- 别在后台静默弹浏览器——桌面程序可用
ShellExecute或xdg-open打开授权页,但必须等用户手动完成 - Web后端要检查响应状态码,
400且error为invalid_grant或invalid_client就该清掉本地存储的两个token - 部分服务(如Microsoft)会在refresh响应里返回新
refresh_token,旧的立即失效——必须原子替换,不能先删后存
token刷新不是“多线程安全”的操作,多个请求并发触发refresh时容易撞出双token失效。真要并发,得加互斥锁或用单例refresher队列。
