随笔分类 - OAuth2
本系列专门输出OAuth2相关的技术
摘要:本文将梳理一下OAuth 2.0中客户端、授权服务器和资源服务器上可能被利用的漏洞以及预防方法。 一、客户端漏洞及预防方法 对于客户端来说,最重要的信息就是客户端密钥和令牌,所以客户端上能够被利用的漏洞就是令牌和密钥失窃。 1.1 针对客户端的CSRF攻击 CSRF:cross-site reque
阅读全文
摘要:本章要解决的疑问: OAuth令牌是什么? 如何生成结构化的令牌(JWT)? 如何使用JOSE保护令牌数据? 如何通过令牌内省实时获取令牌数据? 如何撤回令牌? 令牌的生命周期是怎样的? 一、OAuth令牌是什么? 令牌是OAuth中的核心组件,它代表了一次授权的结果,包含了资源拥有者、授权服务器、
阅读全文
摘要:前面的四篇文章都是介绍OAuth 2.0中最常用、最安全的授权码许可类型,其实相比于OAuth 1.0,OAuth 2.0 最关键的一个变化就是授权许可,即授权流程,且不止授权码一种类型,还有隐式许可类型、客户端凭据许可类型、资源拥有者凭据许可类型(即密码类型)以及断言许可类型,本文将详细介绍除了授
阅读全文
摘要:前两篇详细介绍了OAuth 2.0中的两个核心服务器,现在只剩下最后一个受保护资源服务器了,它可以说是OAuth 2.0的终极目的,前面做了那么多,最终就是为了去受保护资源服务器上获取用户想要的数据,与前两者一样,受保护资源服务器也有它要完成的使命: 如上图所示,它需要完成: 解析令牌 校验令牌 不
阅读全文
摘要:上一篇文章详细介绍了授权服务器需要做的事情 https://www.cnblogs.com/hellowhy/p/15513493.html,本篇来说说客户端服务器吧 一、What? 客户端服务器需要做些什么事呢?请戳下图👇👇👇 在授权码模式中,客户端服务器需要和资源拥有者、授权服务器以及受保
阅读全文
摘要:本来打算这篇直接上代码的,但是在看书的过程中发现有很多理论性的东西需要深挖,所以接下来我会先依次介绍OAuth中的授权服务器、客户端、受保护资源这三大服务器具体要做的事情和细节,本篇先来说说授权服务器。 授权服务器在OAuth中主要有以下四个作用: 管理已注册的客户端 用户对客户端授权 为获得授权的
阅读全文
摘要:最近在看《OAuth 2.0实战》(作者:贾斯廷.里彻和安东尼奥.桑索)这本书,打算边学边以博客的形式进行总结,博客命名为OAuth2系列($number),其中的number为博客顺序。 一、什么是OAuth 2.0 OAuth 2.0是一个授权协议,它允许软件应用代表(而不是充当)资源拥有者去访
阅读全文
摘要:一、OAuth2.0简介 登录授权作为一个网站的敲门砖,几乎是每个系统都会支持的功能,一般情况下都是先注册后登录的流程,登录方式也是多种多样,最常见的应该是用户名+密码、手机号验证码、三方登录,如使用微信、微博、京东等,大多数的三方系统作为IDP,内部都是采用标准OAuth2.0协议中的授权码模式,
阅读全文
浙公网安备 33010602011771号