（原谅我，我的豌豆大脑只能想到这个级别的了。把authorization_code的前端请求接口取消了，将请求用户信息部分的接口独立出来）

第一次登录步骤流程

• 用户点击登录按钮，前端向oauth/sign-up地址发送get请求
• 后端oauth/sign-up中将会用qq的服务器地址并且整合参数（这里包含state参数，后面有用到）构造一个向https://graph.qq.com/oauth2.0/authorize发起的请求
  设定回调地址为oauth/index所在地址。
  （P.S，这个oauth/index最终会跳转到用户中心，展示的仍然是一个页面，中间加几个curl，后面会详细谈到）
• 前端向用户展示后端发来的授权页面，不同意授权，则停止（关闭页面），如果同意授权，浏览器跳转到oauth/index

在oauth/index中：

• 首先会以GET方式收到code(authorization_code)和state参数
• 以curl方式整合GET参数向https://graph.qq.com/oauth2.0/token请求access_token
  ，这里为了通过验证，redirect_uri参数和第一次的一样，选为oauth/index所在地址。
• 结束后得到access_token和refresh_token
• 再次以curl方式整合GET参数（其中有access_token）向https://graph.qq.com/oauth2.0/me请求openID
• 用openID在数据库中查找用户，发现用户存在则更新该用户的access_token和refresh_token，否则新建用户并且存储access_token和refresh_token。
• 此时登录已经完成，设置cookie（永久）储存用户加密过的openID，user_id和获取access_token的时间戳，作为保留在前端的登录凭证。后台设置session存放用户user_id，作为后台的登录凭证。
  (P.S. 如果丢失，应该向接口oauth/get-user-info接口重新申请信息。)
• 流程结束，直接重定向至用户中心，并且带上state参数，这个参数可以提示前端授权登陆已经完成。

单独独立出的用户信息请求接口

因为在oauth/index中页面完全空白（虽然时间很短，但是对用户也不是很友好），所以把这个接口独立出来由前端自己控制调用的时机，避免用户在oauth/index中等待太久

接口1：(调用腾讯API获取用户信息，并且后台在数据库中完成缓存）
oauth/get-user-info-refresh中：

• 以curl方式整合GET参数向https://graph.qq.com/user/get_user_info 发起请求，得到的用户信息（json格式）
• 选择必要的部分（这里和UI商量一下，哪些是要的）存入后台数据库（会以序列化方式存储），并将数据打包发给前端（json）。

接口2：(直接调用后台数据库里的缓存内容）
oauth/get-user-info中：

• 从数据库中取缓存数据，直接打包发给前端（json）。

因为请求用户信息的腾讯API有调用上限，所以前端尽可能使用第二个接口。前端觉得有必要的话可以做头像等信息的本地缓存。

关闭浏览器后重新自动登录

关闭浏览器之后，session会自动失效，当下一次访问到来时，只存在cookie，此时后端会根据cookie存储的user_id，获取对应数据库中的openId，将其加密后与cookie中的对比，如果一致则登录成功，设置session为user_id，失败则不登录并且清空该错误的cookie。
（P.S，正常登陆后，后台比对cookie发来的获取access_token的时间戳和当前时间戳的时长，超过三个月就用refresh_token刷新access_token。