OAuth2
陈振阳
我翻开历史一查,这历史没有年代,歪歪斜斜的每页上都写着仁义道德四个字。我横竖睡不着,又仔细看了半夜,才从字缝缝里看出字来。满页都写着两个字是,吃人。
展开
-
LDAP(TODO)
docker run -d -p 389:389 --name ldap -t larrycai/openldapEclipse PluginOpenLDAP 概念与工作原理介绍 使用 OpenLDAP 集中管理用户帐号 OpenLdap-Java-Friendly原创 2018-05-02 16:01:02 · 439 阅读 · 0 评论 -
经验总结:免密支付(代收代扣)接口申请开通的心酸过程
经验总结:免密支付(代收代扣)接口申请开通的心酸过程转载 2020-05-05 15:29:43 · 1982 阅读 · 0 评论 -
User-Managed Access
A Quick Guide To User-Managed Access 2.0原创 2020-10-16 14:06:01 · 934 阅读 · 0 评论 -
前后端分离的架构下的单点登录方案
XMLHttpRequest Level 2 使用指南跨源通信 :描述前端跨域的各种方法;什么是SSO?单点登录(SSO)的设计原创 2020-02-02 18:22:58 · 3394 阅读 · 0 评论 -
Proof Key for Code Exchange by OAuth Public Clients
Proof Key for Code Exchange by OAuth Public Clients原创 2020-01-31 11:16:46 · 765 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Identity Provider
相关类:外部IDP好像只有在Authorization Code流程中有效;配置好一个Identity Provider之后,给client 的配置 additional information #allowidps 属性;访问配置好sso的web应用,跳转到uaa的登录界面,选择配置好的IDP登录,登录(授权)之后获取code,将code回传给回调uaa的登录地址,被UAA里的XOAuth...原创 2019-07-04 19:44:30 · 1572 阅读 · 0 评论 -
OAuth2 and Friends Resource Server
security: oauth2: resource: token-info-uri: http://localhost:8080/uaa/introspect user-info-uri: # jwk:# key-set-uri: http://localhost:8080/uaa/token_keys prefer-...原创 2019-06-29 14:08:44 · 1656 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Revocable Tokens
revocable:请求的token Format是opaque,或者zone表config里配置的TokenPolicy的jwtRevocable的值为true时,此值为true,否则为falseUAA 可以发放三种类型的token,AccessToken,refreshtoken和idtoken,除了idtoken必须是jwt类型的之外,AccessToken 和Refresh Token既...原创 2019-07-05 08:51:55 · 1131 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Group
groups存储的是一条条的权限,比如password,password.write,如果没有group_member表的话,password,password.write是没有什么关系的;group_member存储的是权限和用户的关系,以及权限之间的上下级关系;现将user所有的直属权限查询出来,再遍历查询出来的group,再次查询group_member中有没有这些group的上级;一直遍...原创 2019-07-05 09:48:05 · 731 阅读 · 0 评论 -
Authorization Server、Resource Server and Wechat‘s Authorization Flow
导读如果外部IDP是符合 OAuth2、OpenId 或者 SAML 等标准协议的授权服务器的话,我们可以直接使用标准的方式对接外部IDP。但是由于微信提供的 Web 授权方式不完全符合 OAuth2 协议,小程序的方式更是没有标准协议对标,就没有办法按照标准的方式对接了,但是幸好 OAuth2 协议提供了 Password 的方式。Authorization Flow开发者服务器中存...原创 2019-07-05 17:24:48 · 512 阅读 · 0 评论 -
Is Refresh Token During Token Relay In Spring Cloud Security a Fake Proposition?
Token Relay 的原理不可能实现的原因,client分发架构Spring Cloud Security的bug原创 2019-06-30 23:18:09 · 378 阅读 · 0 评论 -
Spring Security OAuth2 SSO
authorization code 模式同时也是一个OAuth2Client ,EnableOAuth2Sso上注解了EnableOAuth2Client已经,不用再自己加了;所以配置时,OAuth2 Client的配置 + sso的配置即可。sso的app和authorization server不能是同一个域名...原创 2019-07-03 22:41:30 · 711 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Approvals
undecided scopesapproved scopesdenied scopesAccessController类里有这三个值的取值逻辑;查询当前client的auto approve scopes,从auth_approvals 查询出当前用户已经授权给当前client的scope(有approve的,有deny的)...原创 2019-07-03 17:53:24 · 839 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Setup Debug Environment
./gradlew -Dspring.profiles.active=default,debug,mysql runeclipse remote java appparent 下的 build.gradle 文件,cargo 的 local 部分。原创 2019-07-01 22:30:27 · 507 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Access Token
UaaTokenService里面详细记录了clientdetails 和 users + userinfo是怎么映射到token中去的userinfo表结构的info结构参见UserInfo类,roles和user_attributes;看UserInfoRowMapper;从UaaUserRowMapper中,可以看到,user的authorities的来源;groups + 当前...原创 2019-07-02 10:24:17 · 859 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Access Token Revocation Signature
UAA 是 怎么验证 Access Token 的有效性的呢,此文主要是描述 Access Token 中的 rev_sig claim的作用。这个字段在refresh token和id token中都有,主要目的是用来判断client的信息和user的信息有没有变化。Revocation Signature - token revocation hash salted with at lea...原创 2019-07-02 11:29:01 · 496 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Refresh Token
RefreshTokenCreator 可以根据client信息和user的信息生成一个jwt 格式的refresh token。什么情况下会生成refresh token?原创 2019-07-02 14:51:32 · 612 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server ID Token
OpenId Connect,OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议ID Token什么情况下会返回openid。看IdTokenGranter#shouldSedIdToken;{1. request grant types是oauth2协议标准的四种方式之一2. client scope需要包含openid3. request scope中需要...原创 2019-07-02 17:23:20 · 1599 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Client Details
oauth_client_details表存储了client的信息;additional_information这个字段存储的是一个JSON对象,原创 2019-07-02 17:29:32 · 1436 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Users
users + userinfouserinfo字段在token中的呈现形式:{1. 没往access token里边放,可以参看UaaTokenService2. 在id_token中,如果当前的认证信息中有user_attributes权限,则返回。在返回的json中,key就是user_attributes。3. userinfo表中的roles跟user_attributes字段的...原创 2019-07-03 00:00:31 · 1043 阅读 · 0 评论 -
Cryptographic nonce
Auth2 里的 Authorization Code 模式就是使用的此方案;参考Cryptographic nonce基于timestamp和nonce的防重放攻击nonce和timestamp在Http安全协议中的作用原创 2019-07-03 15:31:33 · 343 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server Auth Code
{ "oauth2Request.responseTypes": ["code"], "userAuthentication.uaaAuthentication": "{\"details\":{\"addNew\":false,\"clientId\":null,\"origin\":\"0:0:0:0:0:0:0:1\",\"sessionId\":\"F005AF900052A56831...原创 2019-07-03 15:56:49 · 618 阅读 · 0 评论 -
CloudFoundry User Account and Authentication (UAA) Server‘s Scope System
生成权限要跟使用权限配合如果客户端使用的是本地翻译模式或者check token接口,此时权限信息就是token上的scope如果客户端使用的是userinfo接口的模式,此时权限就是在userinfo的的info字段的json的roles属性配置。...原创 2019-07-01 17:51:08 · 1089 阅读 · 0 评论