一是,将每次生成 JWT 令牌时的秘钥粒度缩小到用户级别,也就是一个用户一个秘钥。这样,当用户取消授权或者修改密码后,就可以让这个密钥一起修改。一般情况下,这种方案需要配套一个单独的密钥管理服务。
来自:04 | 在OAuth 2.0中,如何使用JWT结构化令牌?
10 人划过
即使我们的授权码 code 被截获,再加上 code_challenge 也同时被截获了
来自:07 | 如何在移动App中使用OAuth 2.0?
7 人划过
如果这里直接返回访问令牌,那我们肯定不能使用重定向的方式。因为这样会把安全保密性要求极高的访问令牌暴露在浏览器上,从而将会面临访问令牌失窃的安全风险
来自:02 | 授权码许可类型中,为什么一定要有授权码?
7 人划过
OAuth 2.0 授权的核心就是颁发访问令牌、使用访问令牌,
来自:01 | OAuth 2.0是要通过什么方式解决什么问题?
7 人划过
用小明进行授权之后的权限,再次与小兔软件注册的权限做校验
来自:03 | 授权服务:授权码和访问令牌的颁发流程是怎样的?
6 人划过
当极客时间接收到授权码的时候,就要在极客时间这一侧做一个 state 参数值的比对校验,如果相同就继续流程,否则直接拒绝后续流程
来自:08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?
5 人划过
刷新令牌是一次性的,使用之后就会失效,但是它的有效期会比访问令牌要长。这个时候我们可能会想到,如果刷新令牌也过期了怎么办?在这种情况下,我们就需要将刷新令牌和访问令牌都放弃,相当于回到了系统的初始状态,只能让用户小明重新授权了。
来自:05 | 如何安全、快速地接入OAuth 2.0?
4 人划过
如果小兔软件获取的信息不属于任何一个第三方用户,那可以直接使用客户端凭据许可类型。
来自:06 | 除了授权码许可类型,OAuth 2.0还支持什么授权流程?
3 人划过
一个是令牌的校验和转换,将前端传递过来的 OAuth 2.0 访问令牌,通过调用 IDP 进行校验,并转换为包含用户和权限信息的 JWT 令牌,再将 JWT 令牌向后台微服务传递。
来自:12 | 架构案例:基于OAuth 2.0/JWT的微服务参考架构
3 人划过
*精彩内容为该课程各文章中划线次数最多的内容
讲师
王新栋
京东资深架构师
编辑推荐
包含这门课的学习路径
Java工程师
29门课程 154.7w人学习
架构师
28门课程 151.9w人学习
看过的人还看了
