当前位置:首页
> CarlZhou 第3页
CarlZhou 管理员
暂无介绍
185 篇文章 0 次评论10 | 串讲:OAuth 2.0的工作流程与安全问题
OAuth 2.0 工作流程串讲 我们一直在讲 OAuth 2.0 是一种授权协议,这种协议可以让第三方软件代表用户去执行被允许的操作。那么,第三方软件就需要向用户索取授权来获得那个令牌。 我们回想下第 1 讲拜访百度王总的例子。只有拿到...
09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
如果你是一个第三方软件开发者,在实现用户登录的逻辑时,除了可以让用户新注册一个账号再登录外,还可以接入微信、微博等平台,让用户使用自己的微信、微博账号去登录。同时,如果你的应用下面又有多个子应用,还可以让用户只登录一次就能访问所有的子应用,...
08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
当知道这一讲的主题是 OAuth 2.0 的安全漏洞时,你可能要问了:“OAuth 2.0 不是一种安全协议吗,不是保护 Web API 的吗?为啥 OAuth 2.0 自己还有安全的问题了呢?” 首先,OAuth 2.0 的确是一种安全协...
07 | 如何在移动App中使用OAuth 2.0?
在前面几讲中,我都是基于 Web 应用的场景来讲解的 OAuth 2.0。除了 Web 应用外,现实环境中还有非常多的移动 App。那么,在移动 App 中,能不能使用 OAuth 2.0 ,又该如何使用 OAuth 2.0 呢? 没错,O...
06 | 除了授权码许可类型,OAuth 2.0还支持什么授权流程?
资源拥有者凭据许可 从“资源拥有者凭据许可”这个命名上,你可能就已经理解它的含义了。没错,资源拥有者的凭据,就是用户的凭据,就是用户名和密码。可见,这是最糟糕的一种方式。那为什么 OAuth 2.0 还支持这种许可类型,而且编入了 OAut...
05 | 如何安全、快速地接入OAuth 2.0?
构建第三方软件应用 我们先来思考一下:如果要基于京东商家开放平台构建一个小兔打单软件的应用,小兔软件的研发人员应该做哪些工作? 是不是要到京东商家开放平台申请注册为开发者,在成为开发者以后再创建一个应用,之后我们就开始开发了,对吧?没错,一...
04 | 在OAuth 2.0中,如何使用JWT结构化令牌?
JWT 结构化令牌 关于什么是 JWT,官方定义是这样描述的: ˃ JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。 这个定义是不...
03 | 授权服务:授权码和访问令牌的颁发流程是怎样的?
授权服务的工作过程 开始之前,你还是要先回想下小明给小兔软件授权订单数据的整个流程。 我们说小兔软件先要让小明去京东商家开放平台那里给它授权数据,那这里是不是你觉得很奇怪?你总不能说,“嘿,京东,你把数据给小兔用吧”,那京东肯定会回复说,“...
02 | 授权码许可类型中,为什么一定要有授权码?
为什么需要授权码? 在讲这个问题之前,我先要和你同步下,在 OAuth 2.0 的体系里面有 4 种角色,按照官方的称呼它们分别是资源拥有者、客户端、授权服务和受保护资源。不过,这里的客户端,我更愿意称其为第三方软件,而且在咱们这个课程中,...
01 | OAuth 2.0是要通过什么方式解决什么问题?
OAuth 2.0 是什么?用一句话总结来说,OAuth 2.0 就是一种授权协议。那如何理解这里的“授权”呢? 我举个咱们生活中的例子。假如你是一名销售人员,你想去百度拜访你的大客户王总。到了百度的大楼之后,保安拦住了你,问你要工牌。你...
