摘要：原文： "Authentication vs Authorization" 有许多实用并且具有哲学性的方法来讨论这两个术语的区别。但是这里确实有一些困惑，我想要从如今普遍用于构建应用的基于 token 的协议的“通常猜测”的角度去看待它。特别是我想要解析清楚 OAuth2 和 OpenID Conn 阅读全文

摘要：原文： "Reference Tokens and Introspection" Access token 可以以两种形式存在：self contained 和 reference 。 Self contained token 使用的是一个受保护，有时间限制的数据结构，其中包含了元数据 (metad 阅读全文

摘要：原文： "401 vs 403" 多年来，关于“未授权”的场景应该使用什么样的 HTTP 状态码的讨论从未停歇过——并且原始的 HTTP 1.1 规范并未明确指出 401 （未授权）和 403 （禁止）的区别。 但是，肯定有必要区分在请求中没有提供或者提供无效凭据以及提供有效凭据但是对于正要尝试的操 阅读全文