- 博客(6)
- 资源 (3)
- 收藏
- 关注
原创 Oauth2.0(六):另外的两种授权方式
除了Implicit和Authorization Code,Oauth2.0还有Resource Owner Password Credentials授权方式和Client Credentials授权方式。 这两种简称 Password 方式和 Client 方式吧,都只适用于应用是受信任的场景。一个典型的例子是同一个企业内部的不同产品要使用本企业的 Oauth2.0 体系。在有...
2020-02-28 11:58:07 271
原创 Oauth2.0(五):Authorization Code 授权方式
Authorization Code 方式适用于有自己的服务器的应用。之所以叫这个名字,是因为流程中引入了一个叫做 authorization code 的东西。这个东西是一个一次性的临时凭证,用来换取 access token 和 refresh token。 鉴权服务器提供了一个类似这样的接口: https://www.xxx.com/exchange?cod...
2020-02-28 11:57:01 745
原创 Oauth2.0(四):Implicit 授权方式
Oauth2.0的核心机制在之前的文章中已经总结完毕。除了核心机制,Oauth2.0 还提供了几种标准的授权流程,分别适用于不同的场景。其中一种叫做 Implicit 授权,这是最简单的形式,适用于纯静态页面应用。所谓纯静态页面应用,就是应用方没有在服务器上执行代码的权限(通常是把代码托管在别人的服务器上),只有前端 Js 代码的控制权。 这种场景下,应用方是没有持久化存储的能力...
2020-02-28 11:55:48 961
原创 Oauth2.0(三):Access Token 与 Refresh Token
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
2020-02-28 11:54:43 3698
原创 Oauth2.0(二):开放平台
在上一篇文章《Oauth2.0(一):为什么需要 Oauth2.0 协议?》中,提到Oauth2.0的交互模型如下: 这个模型涉及到三方:资源拥有者(用户)、应用方(A)、服务提供方(B)。其中,服务提供方包含两个角色:鉴权服务器和资源服务器。鉴权服务器负责对用户进行认证,并授权给应用方权限。认证这一步好实现,无非就是验一下账号密码。但是授权这一步怎么做?这里参考QQ授权给有...
2020-02-28 11:52:58 428
原创 Oauth2.0(一):为什么需要 Oauth2.0 协议?
假设有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。即 B 的用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望 B 用户在使用 A 的客户端时,也可以观看他在 B 的相片。假设你是技术负责人,需要出一个实现方案,怎么做? 要不让 B 提供一个接口: http://xxx.xxx.co...
2020-02-28 11:49:49 730
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人