OAuth 2.0实战课
王新栋
京东资深架构师
立即订阅
2494 人已学习
课程目录
已完结 17 讲
0/2登录后,你可以任选2讲全文学习。
开篇词 (1讲)
开篇词 | 为什么要学OAuth 2.0?
免费
基础篇 (6讲)
01 | OAuth 2.0是要通过什么方式解决什么问题?
02 | 授权码许可类型中,为什么一定要有授权码?
03 | 授权服务:授权码和访问令牌的颁发流程是怎样的?
04 | 在OAuth 2.0中,如何使用JWT结构化令牌?
05 | 如何安全、快速地接入OAuth 2.0?
06 | 除了授权码许可类型,OAuth 2.0还支持什么授权流程?
进阶篇 (8讲)
07 | 如何在移动App中使用OAuth 2.0?
08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
09 | 实战:利用OAuth 2.0实现一个OpenID Connect用户身份认证协议
10 | 串讲:OAuth 2.0的工作流程与安全问题
11 | 实战案例:使用Spring Security搭建一套基于JWT的OAuth 2.0架构
12 | 架构案例:基于OAuth 2.0/JWT的微服务参考架构
13 | 各大开放平台是如何使用OAuth 2.0的?
14 | 查漏补缺:OAuth 2.0 常见问题答疑
结束语 (2讲)
期末测试 | 一套习题,测试你的掌握程度
结束语 | 把学习当成一种习惯
OAuth 2.0实战课
15
15
1.0x
00:00/00:00
登录|注册

14 | 查漏补缺:OAuth 2.0 常见问题答疑

王新栋 2020-07-30
你好,我是王新栋。
从 6 月 29 日这门课上线,到现在已经过去一个多月了。我看到了很多同学的留言,有思考,也有提出的问题。那我首先,在这里要感谢你对咱们这门课的支持、鼓励和反馈。
在回复你们的留言时,我也把你们提出的问题记了下来。在梳理今天这期答疑的时候,我又从头到尾看了一遍这些问题,也进一步思考了每个问题背后的元认知,最后我归纳出了 6 个问题:
发明 OAuth 的目的到底是什么?
OAuth 2.0 是身份认证协议吗?
有了刷新令牌,是不是就可以让访问令牌一直有效了?
使用了 HTTPS,是不是就能确保 JWT 格式令牌的数据安全?
ID 令牌和访问令牌之间有联系吗?
PKCE 协议到底解决的是什么问题?
接下来,我们就一一看看这些问题吧。

发明 OAuth 的目的到底是什么?

OAuth 协议的设计初衷,就是让最终用户也就是资源拥有者(小明),将他们在受保护资源服务器(京东商家开放平台)上的部分权限(查询当天订单)委托给第三方应用(小兔打单软件),使得第三方应用(小兔)能够代表最终用户(小明)执行操作(查询当天订单)。
这便是 OAuth 协议设计的目的。在 OAuth 协议中,通过为每个第三方软件和每个用户的组合分别生成对受保护资源具有受限的访问权限的凭据,也就是访问令牌,来代替之前的用户名和密码。而生成访问令牌之前的登录操作,又是在用户跟平台之间进行的,第三方软件根本无从得知用户的任何信息。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《OAuth 2.0实战课》,如需阅读全部文章,
请订阅文章所属专栏新⼈⾸单¥9.9
立即订阅
登录 后留言

精选留言(4)

  • Geek_bb8d16
    第三方登陆,比如微信登陆这个就很迷惑,这个是用OAuth2来实现登陆流程

    作者回复: 微信的联合登录,比如极客时间用微信登录,这是利用了OAuth2.0的流程。

    2020-08-02
    1
  • inrtyx
    能借问下吗?像雪花算法之类的,不一定是顺序插入吧?有可能先申请的反而后面才插入。这样的话插入性能鬼扯uuid好?
    2020-07-31
  • 一步
    ID 令牌要能够被解析 : 这句话要怎么理解的? ID 要怎么进行解析呢?

    作者回复: ID令牌 用作身份认证,什么是身份认证?就是“你是谁”,它包含了一个用户标识(注意不是用户名),所以要能够被解析。那访问令牌,不可以用作这个吗,不可以,咱们这篇答疑和之前的文章也都有提到,在用户“离开”后,第三方软件仍然可以使用访问令牌获取用户的信息,甚至访问令牌过期之后,还可以使用刷新令牌再换一个访问令牌。如果将访问令牌用作用户登录标识显然不合理。

    2020-07-30
  • 陶陶
    没理解OIDC的使用场景是什么?因为就算没有id令牌,直接使用访问令牌也是可以通过请求用户信息接口获取当前登录人信息的
    2020-07-30
    6
收起评论
4
返回
顶部