OAuth 2.0实战课
王新栋
京东资深架构师
立即订阅
2308 人已学习
课程目录
已更新 15 讲 / 共 17 讲
0/2登录后,你可以任选2讲全文学习。
开篇词 (1讲)
开篇词 | 为什么要学OAuth 2.0?
免费
基础篇 (6讲)
01 | OAuth 2.0是要通过什么方式解决什么问题?
02 | 授权码许可类型中,为什么一定要有授权码?
03 | 授权服务:授权码和访问令牌的颁发流程是怎样的?
04 | 在OAuth 2.0中,如何使用JWT结构化令牌?
05 | 如何安全、快速地接入OAuth 2.0?
06 | 除了授权码许可类型,OAuth 2.0还支持什么授权流程?
进阶篇 (8讲)
07 | 如何在移动App中使用OAuth 2.0?
08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
10 | 串讲:OAuth 2.0的工作流程与安全问题
11 | 实战案例:使用Spring Security搭建一套基于JWT的OAuth 2.0架构
12 | 架构案例:基于OAuth 2.0/JWT的微服务参考架构
13 | 各大开放平台是如何使用OAuth 2.0的?
14 | 查漏补缺:OAuth 2.0 常见问题答疑
OAuth 2.0实战课
15
15
1.0x
00:00/00:00
登录|注册

11 | 实战案例:使用Spring Security搭建一套基于JWT的OAuth 2.0架构

朱晔 2020-07-23
你好,我朱晔,是《Java 业务开发常见错误 100 例》专栏课程的作者。
《OAuth 2.0 实战课》上线之后,我也第一时间关注了这门课。在开篇词中,我看到有一些同学留言问道:“如何使用 Spring Security 来实现 OAuth 2.0?”这时,我想到之前自己写过一篇相关的文章,于是就直接在开篇词下留了言。后面我很快收到了不少用户的点赞和肯定,紧接着极客时间编辑也邀请我从自己的角度为专栏写篇加餐。好吧,功不唐捐,于是我就将之前我写的那篇老文章再次迭代、整理为今天的这一讲内容,希望可以帮助你掌握 OAuth 2.0。
如果你熟悉 Spring Security 的话,肯定知道它因为功能多、组件抽象程度高、配置方式多样,导致了强大且复杂的特性。也因此,Spring Security 的学习成本几乎是 Spring 家族中最高的。但不仅于此,在结合实际的复杂业务场景使用 Spring Security 时,我们还要去理解一些组件的工作原理和流程,不然需要自定义和扩展框架的时候就会手足无措。这就让使用 Spring Security 的门槛更高了。
因此,在决定使用 Spring Security 搭建整套安全体系(授权、认证、权限、审计)之前,我们还需要考虑的是:将来我们的业务会多复杂,徒手写一套安全体系来得划算,还是使用 Spring Security 更好?我相信,这也是王老师给出课程配套代码中,并没有使用 Spring Security 来演示 OAuth 2.0 流程的原因之一。
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《OAuth 2.0实战课》,如需阅读全部文章,
请订阅文章所属专栏新⼈⾸单¥9.9
立即订阅
登录 后留言

精选留言(6)

  • 李荣华
    jwt的单点登出要怎么处理?
    2020-07-29
  • AgCl
    老师,JWT一直看到不容易失效,spring 中有这方面的处理吗?谢谢老师
    2020-07-27
  • Tim Zhang
    有个问题,请指教:
    我的需求是想开发一个统一认证平台,公司内所有应用需要认证,资源权限管控的都走这个应用

    用户首先访问a应用的某个webapi(受保护应用),a应用发现token不存在,跳转到我的统一认证授权中心的登录界面,选择使用微信进行认证,认证成功后,根据我的数据库中的rbac表,查询这个用户在a应用的权限与角色,生成token,将token返回给受保护资源的应用a,然后a应用进行验证。

    我的问题如下:
    1、那些刷新accesstoken,refrshtoken过期的重新跳转的逻辑,是否只能写在不同a、b、c、d这些受保护资源应用的filter逻辑中

    2、比如公司有100个应用需要做认证授权,是否这些应用的(用户,角色,资源)表结构都维护在统一认证中心所对应的db中。

    3、我看老师引用了网关,是否网关可以切面做掉点通用逻辑

    4、受保护资源保护的资源(webapi),假设是基于http rest的spring mvc编写的,是否就是那些control
    ler中的路由url,在这些url之上使用切面逻辑来验证token中的资源权限是否与当前路由匹配(比如验证http方法+url路径)

    5、受保护资源应用自己的数据库中假设存有用户表,是否还要与统一认证中的用户表进行实时关联,比如a应用的用户aa删除了,还需要实时删除统一认证中的aa用户在a应用中的数据

    问题较多,乱,请老师抽空回复下,谢谢了
    2020-07-24
  • carol
    爱了,我要去手撸一遍,验证一下真伪。哈哈
    2020-07-23
  • 工资不交税
    对于sso的实现还是不理解。看起来全程没有用到cookie,那授权服务是如何知道来自两个域名的请求是同一个用户?
    2020-07-23
    1
  • 往事随风,顺其自然
    内容很多,需要实操一下,体会更深刻
    2020-07-23
收起评论
6
返回
顶部