2018-07-18波波老师讲课的方式很好作者回复: 谢谢支持🌹
3
2018-07-23希望能出个 微服务间调用的实战 现在这样显得太草草了了。作者回复: https://github.com/sqshq/PiggyMetrics,这个案例你可以参考下,它的内部服务调用使用客户端授权模式
1
2019-05-31老师您好,我是大三的学生,目前在学您的课程,同时在计划做个sso系统,有一些问题想请教您,请问可以添加您的微信吗,dkyaorui@163.com,这个是我的邮箱。作者回复: 开发一个功能完善的sso系统不简单,我的微信号:bulldog2015,加微信请说明来自极客时间。
2019-05-14波波老师您好,客户端模式和密码模式只是感觉只是一个是在参数中取client_id/secret另一个是取username/password和对应配置数据源中的数据进行对比。步骤都一样,只是针对的使用对象不同,一个是针对机器,一个是针对客户的,请问能这样理解吗?作者回复: 用户名密码模式是针对有人参与场景,需要同时提供client_id/secret(标识客户应用身份)和username/password(标识端用户身份);客户端模式针对机器,没有端用户参与,只需要提供客户应用身份标识client_id/secret。
2019-04-20波波老师您好。我最近在做开放API的安全方案。之前用的比较多的是,使用https来解决传输加密问题,使用RSA或者MD5算法,对请求payload进行签名和验签的方式,来解决API的授权问题。在学习了您的OAuth2的课程之后,觉得OAuth2的客户端模式非常契合这种开放API授权场景,而且我注意到微信的小程序开发平台API,使用的也是OAuth2的客户端模式。我想请问波波老师,与签名验签方式进行授权相比,OAuth2的客户端模式的优势在哪里,对于开放API的安全方案,我们应该如何选型。还请老师指点一二,谢谢。作者回复: 你好,OAuth2的客户端模式适用于机器对机器的调用授权场景,你讲的对请求payload进行签名和验签也可以认为是一种调用授权方式,通过密钥MD5/RSA等方式保证:1)请求是受信方发出的;2)请求没有被篡改过。OAuth2令牌的特点是具有有效期/时效性,过期重新申请可以换一个令牌,可以集中校验和吊销令牌,你的办法如果考虑有效期/时效性,集中校验/吊销会比较麻烦,另外Key管理有一定复杂性。现在也流程一种方法把OAuth2令牌和签名/验签结合起来,这个就是JWT(JSON Web Token),它是一种自包含令牌,有时效性,可以包含过期和其它信息,可签名和自校验,可以无状态校验也可以集中校验。
2019-04-05老师您好,听完感觉客户端模式也是相对比较安全的,只要密钥不丢失。这样和授权码对比,又感觉不出授权码模式的安全优势体现到哪了作者回复: 使用场景不同,客户端模式适用于机器对机器(无人参与),授权吗模式适用于Web服务端应用(有人参与)。授权码模式对比简化(implict)和用户名密码(username/password)模式更安全。
2019-03-20这个client模式我看用postman也要输入username和password,这个用户名密码模式的区别是啥?作者回复: client模式不是用username/password,而是clientid/secret,也就是说这不是代表用户,而是客户应用(client app)。
2019-01-22老师请教,
一般 互联网开放平台里面的 app key, app secret 生成规则 有基本规范么,还是说 每个公司自己决定?作者回复: app key/secret其实和oauth2里头的client id/secret类似,没有明确规范,公司可以根据场景自己定义,一般client id要保证不重复,secret随机字符串就可以
2018-12-19bobo一脸淡定,有种莫名的喜感作者回复: 录视频也是个辛苦活,如果大家能有收获就会有喜跃感💪