• paravoice
    2018-10-08
    第10讲5:00处content type没有必要吧 因为没有http body

    作者回复: https://tools.ietf.org/html/rfc6749#section-4.3,你看下rfc6749规范,需要Content-Type: application/x-www-form-urlencoded,POST时以body(urlencoded格式)传输

    
     2
  • 欧文
    2018-09-01
    请问授权服务器里面配置在inMemory的用户凭证与application.properties 里的user/pass怎么区别和理解?平时遇到一般采用basic auth的服务里只需要填写一对用户凭证,正式环境一般怎么应用呢?

    作者回复: 用户凭证应该是客户凭证(clientId+secret),用来标识这个oauth2客户应用的,user/pass是用户标识用户身份,一个应用可以有很多个用户,他们通过这个客户应用client app去访问他们在资源服务器上的资源。

    
     1
  • 童飞帆
    2018-05-09
    很精彩,期待新课程继续开放

    作者回复: 谢谢支持🌹

    
     1
  • 廖先生
    2018-05-08
    已购买了课程,希望老师能详细讲到OAuth2结JWT,来设计一个微服务架构下的权限控制系统

    作者回复: 好建议谢谢🌹后继考虑增加权限系统模块的视频或文章,敬请关注

    
     1
  • Tony🐑
    2019-12-13
    密码模式里面为什么还需要配置clientId和clientSec呢?作用和目的是什么呢?

    作者回复: 根据oauth2规范,对于用户名密码模式,clientId/secret并非必须,但是对于机密(confidential)应用,是需要的,参考rfc6749的4.3节。
    https://tools.ietf.org/html/rfc6749#section-4.3

    采用客户认证以后有哪些好处,可以参考3.2.1节:
    https://tools.ietf.org/html/rfc6749#section-3.2.1

    
    
  • 大鹏
    2019-06-01
    老师请教个问题,一个前后分离的项目用到了密码模式。前端页面传过来用户名 密码,zuul网关上配置了clientid,clientSecret.转发请求到authorization server的时候带上了。在这种情景下,zuul网关是不是就相当于客户端,可以这么用吗。客户端不就相当于在后端了,应该用授权码模式啊...
    还是我学的太死了,前端是客户端,只不过把clientid secret 存到zuul上了.我理解这样做的好处是clientid secret保存到后端比较安全,坏处就是zuul只能对接当前前端,因为所有经过zuul请求授权服务器的clientid secret 都是一样的。
    但是感觉从架构上让人困惑,到底谁是客户端?前端应用还是zuul网关。

    作者回复: 这用用法也是可以,Zuul相当于是一个oauth2代理,整个是一个变种的授权吗模式,Zuul就是Client App,好处是安全性会更高。业界也有人这么玩,实际会更复杂一些,可以支持多应用场景,但Zuul上要管理会话状态,有兴趣你可以参考:https://github.com/madumalt/oauth-proxy

    
    
  • kevinlia0
    2019-04-05
    波波老师,讲的好棒👍

    作者回复: 谢谢支持!加油!

    
    
  • 正是那朵玫瑰
    2019-03-13
    老师这个scope感觉没有什么用处啊,资源服务并没有对每一个url资源进行分类啊?

    作者回复: 我的案例比较简单,其中的确没有用到scope。scope是oauth2协议支持的一种标准作用域(或权限)机制,现实中有些场景下可以使用scope的,比如读写权限区分,当然资源服务器端要解释scope并做权限判断逻辑。当然,你也可以完全不用scope,而采用其它权限机制,比如根据用户关联的角色进行鉴权等。

    
    
  • yien
    2019-01-25
    现在很多都用springboot2.x了,希望老师及时更新一下版本。还有建议一下,之前实验相同部分简单带过,多讲一些干货,😁

    作者回复: 谢谢你的建议,很中肯!课程后续的综合案例部分的实验已经升级到spring boot 2.x版本。

    
    
  • 雾里看花
    2018-12-25
    波波老师,如果把inMemory改成jdbc方式的话,需要怎么做

    作者回复: security oauth2可灵活配置,lab04的oauth2用的是一种较简单jdbc方式(使用h2数据库),可参考,另外网上有很多spring security oauth2+jdbc例子,可搜一下。

    
    
  • 西兹兹
    2018-12-12
    授权服务器返回token之后, 授权服务器的token一般是保存在类似redis的缓存服务器中的吧?

    作者回复: 如果生产流量大且令牌访问频繁(例如校验),这时仅用DB会有瓶颈,一般需用redis等缓存令牌,加快访问速度。

    
    
  • Jack
    2018-12-11
    拿到token后 是可以把user信息写在token 这样后续调用其他api 用户信息就可以传递 希望这个讲一讲

    作者回复: 如果是普通令牌,可通过oauth2的令牌校检(introspect)端点校验令牌并获取用户信息,然后可以http header等形式往后传递,本课程第9模块综合案例部分会有单独讲解,采用网关集中令牌校验方式。如果用jwt令牌,则令牌是自包含自校验的,令牌里头就有用户信息。

    
    
  • 王乐
    2018-07-17
    我们最近在使用CAS做系统单点登录,我发现CAS系统的原理和Oauth2的授权及访问资源过程是一样的,请问老师这么理解对吗?

    作者回复: CAS支持多种认证授权协议,oauth2也是CAS支持的一种协议

    
    
我们在线,来聊聊吧