文章目录
1.OAuth2概述
1.1 解决什么问题
- 问题1:基于开放系统间授权:如下图,资源拥有者希望自己受保护的资源能让第三方应用有权访问
- 办法1:把用户名密码传给第三方应用,第三方应用携带去访问(公司内部一般这样用)–开放系统间不适用
- 办法2:客户应用和受保护资源间商议一个“钥匙”,这个一般是双方是合作商。其他关系不安全
- 办法3:给受保护资源设置特使的令牌,仅能访问到受保护的资源
- 问题2:传统单体应用安全:
- 问题3:现在微服务安全
1.2 OAuth2是什么
- 授权服务器:颁发Access Token
- 真实流程中,颁发token前先要征用户同意
- OAuth2.0标准化了Access Token的请求和相应部分,细节在RFC6749中
1.3 OAuth2正式定义
- 优势
- 术语