OAuth 2.0实战课
王新栋
京东资深架构师
立即订阅
642 人已学习
课程目录
已更新 2 讲 / 共 16 讲
0/2登录后,你可以任选2讲全文学习。
开篇词 (1讲)
开篇词 | 为什么要学OAuth 2.0?
免费
基础篇 (1讲)
01 | OAuth 2.0是要通过什么方式解决什么问题?
OAuth 2.0实战课
15
15
1.0x
00:00/00:00
登录|注册

01 | OAuth 2.0是要通过什么方式解决什么问题?

王新栋 2020-06-29
你好,我是王新栋。
在课程正式开始之前,我想先问你个问题。第一次使用极客时间 App 的时候,你是直接使用了第三方帐号(比如微信、微博)登录,还是选择了重新注册新用户?如果你选择了重新注册用户,那你还得上传头像、输入用户名等信息。但如果你选择了使用第三方帐号微信来登录,那极客时间会直接使用你微信的这些信息作为基础信息,你就能省心很多。
到这里,我估计你会问,这是怎么实现的?微信把我的个人信息给了极客时间,它又是怎么保证我的数据安全的呢?
其实,微信这一系列授权背后的原理都可以归到一个词上,那就是 OAuth 2.0。今天这节课,我们就来看看 OAuth 2.0 到底是什么、能干什么以及它是怎么干的。

OAuth 2.0 是什么?

用一句话总结来说,OAuth 2.0 就是一种授权协议。那如何理解这里的“授权”呢?
我举个咱们生活中的例子。假如你是一名销售人员,你想去百度拜访你的大客户王总。到了百度的大楼之后,保安拦住了你,问你要工牌。你说:“保安大哥啊,我是来拜访王总的,哪里有什么工牌”。保安大哥说:“那你要去前台做个登记”。
然后你就赶紧来到前台,前台美女问你是不是做了登记。你说王总秘书昨天有要你的手机号,说是已经做过预约。小姐姐确认之后往你的手机发了个验证码,你把验证码告诉了前台小姐姐之后,她给了你一张门禁卡,于是你就可以开心地去见王总了。
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《OAuth 2.0实战课》,如需阅读全部文章,
请订阅文章所属专栏。
立即订阅
登录 后留言

精选留言(5)

  • Jaswine
    访问百度的案例中有以下角色:我(client),前台王小姐(百度的授权、鉴权服务),大客户王总(资源),百度(资源所在的服务器)。
    2020-06-29
    3
  • gavin
    这里的授权服务和受保护资源服务都是京东商家开放平台(不过应该是对应授权服务和订单服务)、客户端(第三方软件)对应的是小兔软件、资源的拥有者小明通过OAuth2.0的授权码模式授权后,小兔软件可以访问对应的订单,这里有两个点,需要老师给指点一下是否理解的正确:
    1. 授权码模式我一直理解其比Implicit模式的安全性主要体现在,其访问令牌是基于再次的https请求的返回值,是加密传递的,而Implicit模式的授权码是get请求参数跳转返回的,所以安全性不高。
    2. OAuth2.0的授权是基于scope实现的,一个scope值会对应一些可以访问的资源,在小兔软件请求获取授权时,要声明对应scope,小明在授权页面上能够清楚的看到授权的scope是什么,对应的返回的访问凭据也应该包含scope信息。
    而且凭据中也包含了小明的身份信息,这样最终授权访问的就是scope对应的小明的相关资源。
    2020-06-29
    3
  • 星夜宝宝
    老师能写弄一个spring boot版本的吗?
    2020-06-29
  • Seven.Lin澤耿
    我们项目使用OAuth2.0 ,但是还是使用账号密码登录,是不是等于没有用授权的特性了==、
    2020-06-29
  • 胡化敏
    故事讲的不错
    2020-06-29
收起评论
5
返回
顶部