12 | 架构案例:基于OAuth 2.0/JWT的微服务参考架构
从单体到微服务架构的演进,是当前企业数字化转型的一大趋势。OAuth 2.0是当前业界标准的授权协议,它的核心是若干个针对不同场景的令牌颁发和管理流程;而JWT是一种轻量级、自包含的令牌,可用于在微服务间安全地传递用户信息。 据我目前了解到...
11 | 实战案例:使用Spring Security搭建一套基于JWT的OAuth 2.0架构
如果你熟悉 Spring Security 的话,肯定知道它因为功能多、组件抽象程度高、配置方式多样,导致了强大且复杂的特性。也因此,Spring Security 的学习成本几乎是 Spring 家族中最高的。但不仅于此,在结合实际的复杂...
10 | 串讲:OAuth 2.0的工作流程与安全问题
OAuth 2.0 工作流程串讲 我们一直在讲 OAuth 2.0 是一种授权协议,这种协议可以让第三方软件代表用户去执行被允许的操作。那么,第三方软件就需要向用户索取授权来获得那个令牌。 我们回想下第 1 讲拜访百度王总的例子。只有拿到...
09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
如果你是一个第三方软件开发者,在实现用户登录的逻辑时,除了可以让用户新注册一个账号再登录外,还可以接入微信、微博等平台,让用户使用自己的微信、微博账号去登录。同时,如果你的应用下面又有多个子应用,还可以让用户只登录一次就能访问所有的子应用,...
08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
当知道这一讲的主题是 OAuth 2.0 的安全漏洞时,你可能要问了:“OAuth 2.0 不是一种安全协议吗,不是保护 Web API 的吗?为啥 OAuth 2.0 自己还有安全的问题了呢?” 首先,OAuth 2.0 的确是一种安全协...
07 | 如何在移动App中使用OAuth 2.0?
在前面几讲中,我都是基于 Web 应用的场景来讲解的 OAuth 2.0。除了 Web 应用外,现实环境中还有非常多的移动 App。那么,在移动 App 中,能不能使用 OAuth 2.0 ,又该如何使用 OAuth 2.0 呢? 没错,O...
06 | 除了授权码许可类型,OAuth 2.0还支持什么授权流程?
资源拥有者凭据许可 从“资源拥有者凭据许可”这个命名上,你可能就已经理解它的含义了。没错,资源拥有者的凭据,就是用户的凭据,就是用户名和密码。可见,这是最糟糕的一种方式。那为什么 OAuth 2.0 还支持这种许可类型,而且编入了 OAut...
05 | 如何安全、快速地接入OAuth 2.0?
构建第三方软件应用 我们先来思考一下:如果要基于京东商家开放平台构建一个小兔打单软件的应用,小兔软件的研发人员应该做哪些工作? 是不是要到京东商家开放平台申请注册为开发者,在成为开发者以后再创建一个应用,之后我们就开始开发了,对吧?没错,一...
04 | 在OAuth 2.0中,如何使用JWT结构化令牌?
JWT 结构化令牌 关于什么是 JWT,官方定义是这样描述的: ˃ JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。 这个定义是不...
03 | 授权服务:授权码和访问令牌的颁发流程是怎样的?
授权服务的工作过程 开始之前,你还是要先回想下小明给小兔软件授权订单数据的整个流程。 我们说小兔软件先要让小明去京东商家开放平台那里给它授权数据,那这里是不是你觉得很奇怪?你总不能说,“嘿,京东,你把数据给小兔用吧”,那京东肯定会回复说,“...
