yanghuahui's blog

摘要： 笔者redguardtoo用自己亲身的经历向读者阐述了使用google搜索引擎的技巧，文中也设计很多做技术人员的素质，甚至涉及做人方面的道理。以下是截取了文中颇有意味的一些句段，直接引用原文能尽量不失真地表达作者的原意，括号中是我的一些理解。冗余信息和有意义的信息一起检索的好处是可以快速定位到同样问题的人。缺点是排除了一些有用信息。真正的问题是从无用的信息中快速定位有用信息。(思考：这个可能就是反其道而行的成功案例，颇有中国传统的优秀思想)解决问题分两步走。首先要有背景知识。然后发挥想象力，将看似无关的细节结合起来，提炼出关键字。（思考：背景知识是必要的，这个可以通过熟能生巧多加锻炼。想象力的 阅读全文

摘要： 传统的第三方应用授权：为了让第三方应用能够访问受保护资源，资源拥有者必需将他的私有证书（用户名和密码）透露给第三方。这样，资源拥有者无法在不影响所有第三方的前提下单独撤销某个第三方的访问权限，他只能通过修改密码来回收所有权限。OAuth通过将客户端和资源拥有者的角色进行分离来解决这些问题。在OAuth中，客户端（通常不是资源拥有者，而是代表资源拥有者来操作）提出请求来访问由资源拥有者控制并由资源服务器托管的资源，然后得到与资源拥有者不同的一套私有证书。OAuth为客户端提供了一种代表资源拥有者访问受保护资源的方法。在客户端访问受保护资源之前，它必须先从资源拥有者获取授权（访问许可），然后用访问 阅读全文

摘要： 首先明确我们要实现的目标:一个云端的用户系统，这个云平台上所有的第三方应用均借助这个用户系统进行登录鉴权。实现场景:用户在其中一个第三方应用上授权登录完毕，那么其他的第三方应用识别这个用户已经登录，然后所有的第三方应用都可以调用api来操作与这个用户有关的受保护资源。用户在一台物理电脑上授权，在另外一台物理电脑上无法认为这个用户已经登录。同台电脑换个浏览器也不能登录。每个第三方应用都要有的信息：1、客户端id（可公开）2、客户端secret_key（不可公开）3、回跳url（否则服务端会被作为免费公开的跳转节点）客户端根据【客户端id和用户的授权（用户名密码）】来获取授权码，这个授权码有效期一 阅读全文