今天这一讲,我并不打算带你去解决新的什么问题,而是把我们已经讲过的内容再串一遍,就像学生时代每个学期即将结束时的一次串讲,来 “回味”下 OAuth 2.0 的整个知识体系。
Recent Articles
文章 09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
今天,我们就来学习下 OIDC 和 OAuth 2.0 的关系,以及如何用 OAuth 2.0 来实现一个 OIDC 用户身份认证协议。
文章 08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
OAuth 2.0 的确是一种安全协议。这没啥问题,但是它有很多使用规范,比如授权码是一个临时凭据只能被使用一次,要对重定向 URI 做校验等。那么,如果使用的时候你没有按照这样的规范来实施,就会有安全漏洞了。
文章 06 | 除了授权码许可类型,OAuth 2.0还支持什么授权流程?
授权码许可的流程最完备、最安全没错儿,但它适合所有的授权场景吗?在有些场景下使用授权码许可授权,是不是过于复杂了,是不是根本就没必要这样?
文章 05 | 如何安全、快速地接入OAuth 2.0?
在 OAuth 2.0 的体系里面,除了资源拥有者是作为用户参与,还有另外两个系统角色,也就是第三方软件和受保护资源服务。那么今天这一讲,我们就站在这两个角色的角度,看看它们应该做哪些工作,才能接入到 OAuth 2.0 的体系里面呢?
文章 04 | 在OAuth 2.0中,如何使用JWT结构化令牌?
JWT 是什么、原理是怎样的、优势是什么,以及怎么使用,同时我还会讲到令牌生命周期的问题。
文章 03 | 授权服务:授权码和访问令牌的颁发流程是怎样的?
在介绍授权码许可类型时,我提到了很多次 “授权服务”。一句话概括,授权服务就是**负责颁发访问令牌**的服务。更进一步地讲,OAuth 2.0 的核心是授权服务,而授权服务的核心就是令牌。
文章 02 | 授权码许可类型中,为什么一定要有授权码?
在小兔打单软件的例子里面,小兔最终是通过**访问令牌**请求到小明的店铺里的订单数据。同时呢,我还提到了,这个**访问令牌是通过授权码换来的**。到这里估计你会问了,为什么要用授权码来换令牌?为什么不能直接颁发访问令牌呢?