认证与授权
文章平均质量分 93
罗斯839
这个作者很懒,什么都没留下…
展开
-
聊聊授权那些事儿(ladon库)
概览今天我们来了解一个用go语言编写的资源访问控制库 — ladon,它使用的权限模型非常类似于RBAC(基于角色的访问控制系统, Role Based Access Control)和ACL(访问控制列表,Access Control Lists),但是相较之下,ladon的授权策略模型能够提供更精细的访问控制,它受AWS的IAM(Identity and Access Management)策略启发,能够在更为复杂的环境中(例如多租户、分布式应用程序和大型组织)工作。注意,ladon仅仅是一个库,而原创 2022-02-11 19:34:01 · 4939 阅读 · 0 评论 -
聊聊身份认证那些事(基于gin框架的认证实战 下)
概述上一篇文章我们了解了应用认证常用的四种方式:Basic、Digest、OAuth、Bearer。这一篇,我们来看一下实际应用中如何通过gin web框架来设计和实现认证功能。通常我们的应用会用到Basic认证和Bearer认证。其中,Basic 认证用在前端或app登陆的场景,Bearer 认证用在调用后端 API 服务的场景下。业界通常的实现方式是,将应用提供的 API 接口注册到 API 网关中,通过 API 网关中的 Token 认证功能,来实现对应用 API 接口的认证。应用如何实现bas原创 2022-01-20 18:36:35 · 1257 阅读 · 0 评论 -
聊聊身份认证那些事(基于gin框架的认证实战 上)
开篇身份认证系列进行到现在,大部分内容都是偏理论的,今天我们就来点轻松的,直接上实战,纸上得来终觉浅,绝知此事要躬行呀。正如本篇题目所示,我们来看看如何通过go语言的gin web框架来实现一个简单的认证功能,不过就算你没用过gin也没关系,把代码部分当做伪代码来看就行,毕竟认证功能是语言无关的嘛,先把内功打深厚,然后再学招式就简单得多了。四种基本的认证方式认证是用来验证某个用户是否具有访问系统的权限。如果认证通过,该用户就可以访问系统,从而创建、修改、删除、查询平台支持的资源。认证需要你证明你是原创 2022-01-09 17:12:16 · 2611 阅读 · 0 评论 -
聊聊身份认证的那些事(JWT)
开篇上一讲我们讲了CAS协议,其中CAS server的主要任务是签发和认证TGT、ST,或者更通用的说法是颁发和认证访问令牌。而令牌的形式,既可以是没有内部结构且不包含任何信息含义的随机字符串,比如CAS 中的ST,也可以是具有内部结构且包含有信息含义的字符串,比如我们今天要介绍的JWT。JWT不是一种认证协议,也不是一个开源软件的名称,它是一种结构化令牌,可以和各种认证协议结合使用。JWT的适用范围很广,并不仅限于认证授权,下面我们就来看看涉及JWT的方方面面。JWT结构化令牌关于什么是 JWT原创 2021-02-24 10:11:27 · 474 阅读 · 0 评论 -
聊聊身份认证那些事(OAUTH 下)
概述前面我们讲了授权服务的流程,这里的关键就是授权服务将 OAuth 2.0 的复杂性都揽在了自己身上,这也是授权服务为什么是 OAuth 2.0 体系的核心的原因之一。虽然授权服务做了大部分工作,但是在 OAuth 2.0 的体系里面,除了资源拥有者是作为用户参与,还有另外两个系统角色,也就是第三方软件和受保护资源服务。那么今天我们就站在这两个角色的角度,看看它们应该做哪些工作,才能接入到 OAuth 2.0 的体系里面。第三方软件应用构建第三方软件应用我们先来思考一下:如果要基于淘宝开放平台构建原创 2022-01-29 10:47:02 · 2129 阅读 · 0 评论 -
聊聊身份认证那些事(OAUTH 中)
在介绍授权码许可类型时,我提到了很多次 “授权服务”。一句话概括,授权服务就是负责颁发访问令牌的服务。更进一步地讲,OAuth 2.0 的核心是授权服务,而授权服务的核心就是令牌。那么,授权服务到底是怎么生成访问令牌的,这其中包含了哪些操作呢?还有一个问题是,访问令牌过期了而用户又不在场的情况下,又如何重新生成访问令牌呢?带着这两个问题,我们就以授权码许可类型为例,一起深入探索下授权服务这个核心组件吧。授权服务的工作过程开始之前,先回想下你给小石榴软件授权订单数据的整个流程。我们说小石榴软件先要让你去原创 2021-10-23 16:07:44 · 292 阅读 · 1 评论 -
聊聊身份认证的那些事(OAuth 上)
概论OAuth 到底是什么呢?我们先从字面上来分析下。OAuth 一词中的 “Auth” 表示 “授权”,字母 “O” 是 Open 的简称,表示 “开放” ,连在一起就表示 “开放授权”。你应该知道OAuth存在两个版本:1.0和2.0, 1.0 版本有个 “很大的愿望” 就是想用一套授权机制来应对现实中的所有场景,但现实场景多种多样,只用一种授权机制显然对用户体验不太友好,因此,2.0 不再局限于一种授权机制,而是扩展到四种授权机制,你可以非常灵活地在各种授权场景中选择合适的授权机制。而且1.0版本原创 2021-07-20 23:36:36 · 240 阅读 · 0 评论 -
聊聊身份认证的那些事(开篇)
开篇身份认证,对于一个安全的应用来说,是第一道门槛,它为后续所有的安全措施提供了“身份”这样一个关键信息。通常每个公司会有好几个外部应用,如果每一个应用使用独立的账号体系,管理起来会非常复杂,用户也需要保存好几个账号密码,严重影响使用体验。而且公司内部的各个管理或开发系统,比如各种服务器、confluence、jira、gitlab等也都使用单独的账号,一个开发人员要记住各种纷繁杂乱的账号和密码,如果不提前保存下来,根本不可能能靠记忆完成输入。这时,如何设计一个简单易用的身份认证体系就显得尤为重要原创 2021-01-16 19:48:52 · 1335 阅读 · 0 评论