课件及源码地址

精选留言(11)

• 
  立地成佛

  2018-07-08

  授权码模式和简化模式里的，user-agent和client分别是什么呢？感觉讲的不太清楚，您讲的user-agent是浏览器，那client是什么？

  作者回复: user-agent一般指浏览器，client是客户应用，比方授权码模式中客户应用一般是一个服务器端应用（如java web app），资源拥有者通过这个应用(间接也通过浏览器)去访问他在其它服务器上的资源。简化模式中，客户应用常是住在浏览器中的JS单页面应用。建议细看前面课程oauth2最简向导

  

   3
• 
  CLMOOK🐾

  2019-03-03

  老师好，请问授权码模式中的redirection URI是什么? 是指向要访问的资源服务器的用户数据？授权码与客户端ID和重定向URI，是一一对应关系，但重定向URI是可选项，如何保证这种对应关系呢？谢谢

  作者回复: 你好，OAuth2授权码流程中，第一次(浏览器->oauth2服务器)传递redirect url是客户应用(client app)回调地址，oauth2服务器返回code时会通过重定向调用这个地址，相当于向客户应用传递code。第二次(客户应用->oauth2服务器)传递redirect url是给oauth2服务器进行校验用，确保过来请求token的是之前请求code的那个客户应用。第一次redirect url可选，因为向oauth2服务器注册客户应用时可以直接提供，也就是说oauth2服务器已经知道要重定向到哪里，参考https://stackoverflow.com/questions/47050255/when-oauth2-authoration-code-grant-flow-redirect-uri-parameter-is-really-option

  

   2
• 
  红红的大苹果

  2018-10-23

  access token和refresh token的适用场景是什么？我的理解是为了控制access token的有效时间，从而控制token泄露后风险敞口时间。但是refresh token不是一样可能泄露么，只要同时拿到access token + refresh token，恶意方一样可以去申请新的access token啊。最终只能通过PoP的方式防止非token所有者非法适用token。所以我对access token + refresh token的适用业务场景有些疑惑。希望波波老师指点。

  作者回复: refresh token主要用途是在授权码模式中，access token到期方便换新，否则要走一个完整oauth2授权码流程，它不是主要用来解决安全问题，安全由oauth2流程+规范本身部分解决。

  

   2
• 
  makerTrouble

  2018-11-01

  想问一下accesstoken过期时间怎么配置？这个token一般是保存在浏览器的cookie中吗？

  作者回复: accesstoken过期时间一般在oauth2服务器上设置，在注册client的时候设。在授权码模式中，token一般不会流到用户流览器中，要存的话也是存web服务器上。在简化模式和单页应用中，accesstoken可存localstorage或cookie中，但仅限安全不严格场景。

  

   1
• 
  mh

  2018-09-29

  老师好，请问下简化的授权码模式中返回的Fragment是指的什么？有具体的案例说明吗？这里不太明白。我可以这样理解吗？比如客户端的请求地址是client.com,授权服务器授权后重定向到client.com?#access_token=access_token_with_secret; 然后客户端再通过Ajax请求Web-Host Client Resource获取解密的脚本，执行这个脚本得到真正的access_token

  作者回复: 你可以再看下rfc6749的官方文档，URI fragment里头就是access token，一般也不加密，用URI fragment而不是query string，是为安全，浏览器接收到授权服务器的重定向指令向Web-Host Client Resource所在服务器发起请求时，会剥离URI fragment（但浏览器会保留），这样access token就没机会通过网络被发到Web-Host Client Resource所在服务器上，这样更安全，当Web-Host Client Resource服务器上js脚本返回到浏览器，js脚本仍可解析出URI fragment中的access token，因为浏览器有保留

  

   1
• 
  Bob

  2019-08-15

  这个oauth2听起来有点不感兴趣，跟后续的微服务架构有什么重要的关系吗？

  作者回复: 认证鉴权是微服务重要环节，oauth2则是服务授权的业界标准协议。一般中大型的互联网公司都有独立的认证鉴权中心，大都支持oauth2协议。另外，后续企业的服务如果要开放出来(比如建开放平台)，一般都需要支持oauth2协议。
  
  当然，对于一些小规模的企业场景，oauth2会显得比较重。如果暂时不感兴趣，可以先跳过第一章，等后面有需要再回头看。

  

  
• 
  9080

  2019-03-31

  老师，注册客户端的时候要配置redirectUrl属性，那么通过流程看这个属性是固定值，如果我想实现登录并授权完成后回跳到来源页（这个来源页不一定是注册配置的redirectUrl）如何做呢？还有用户授权页是否可以略过呢，因为我想通过Oauth2协议实现SSO机制，有些场景是不需要弹出授权页的，请老师空闲时帮看下我的问题，谢谢~

  作者回复: 你好，在OAuth2的基础上要实现SSO还是比较复杂的，要看你的具体应用场景，还有应用类型等(Web/Mobile/SPA)，做法有很多。因为我不清楚你的具体上下文，所以暂不好给明确建议，不过我正在开发一个端到端的微服务案例应用，里头会实现简单SSO机制，你可以加我微信(bulldog2015)，到时会通知你。

  

  
• 
  绫夜

  2019-03-20

  resource owner 拿到access token后 应该要去 认证服务器认证吧?

  作者回复: 对，如果没有采用网关集中令牌校验方式，那么可以让resource owner分别拿access token去认证服务器认证。如果用jwt自包含令牌的话，则可以实现resource owner自校验，不一定需要去认证服务器集中校验。

  

  
• 
  Geek_61d75a

  2018-10-09

  老师，微服务间通过feign相互调用，需要用到oauth吗，如果用到应该使用那种模式呢。

  作者回复: 做好生产环境隔离的话，一般内部服务之间调用也不走oauth，可以直接调。安全要求严格时可以考虑采用客户端凭证模式(Client Credential Grant)。oauth主要场景是开放api第三方调用，无线或H5 app调用。

  

  
• 
  文敦复

  2018-09-17

  这节第一种和第二种我有点懵逼…😂

  作者回复: 建议阅读阮一峰的理解oauth2，http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

  

  
• 
  小肥牛

  2018-09-06

  老师好，想问一下授权码模式中设计auth code的意义是什么？为什么验证用户后不直接把access token返回回来呢？

  作者回复: 全流程的授权码flow最安全， 1）,第二步拿到auth code后，client需要提供client id/secret + authcode去换token，相当于授权服务器需要校验client是不是那个发起授权请求的client，因为第一步浏览器发起的授权请求是不提供client secret的。2)，token只在client端，不会流到user agent去，client secret也不能流到user agent去

  

  