oauth

前面简单介绍了JWT的基础只是和简单的小Demo，但是对于JWT的应用场景和优缺点掌握的还够，这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好，就转载过来一起学习下。 原文链接 这样形如 A.B.C 的字符串时能敏感地认出这是使用了 jwt。发了这两篇文章后，有不少读者在文末留言，表达了对 jwt 使用方式的一些疑惑，以及到底哪些场景适合使用 jwt。我并不是 jwt 方面的专家，和不少读者一样，起初研究时我也存在相同疑惑，甚至在逐渐接触后产生了更大的疑惑，经过这段时间项目中的使用和一些自己思考，把个人的总结整理成此文。 这些基础知识简单地介绍下，千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念，笔者用大白话来做下通俗的讲解（非严谨定义，供个人理解） 编码(encode)和解码(decode) 一般是编码解码是为了方便以字节的方式表示数据，便于存储和网络传输。整个 jwt 串会被置于 http 的 Header 或者 url 中，为了不出现乱码解析错误等意外，编码是有必要的。在 jwt 中以 . 分割的三个部分都经过 base64 编码(secret 部分是否进行 base64 编码是可选的，header 和 payload 则是必须进行 base64 编码)。注意，编码的一个特点：编码和解码的整个过程是可逆的。得知编码方式后，整个 jwt

本文中讨论了API安全性和采用安全措施的重要性，如身份验证，API密钥，访问控制和输入验证。 API设计的第一步是撰写接口文档 根据TechTarget（海外IT专业媒体）的定义，RESTful API是一个应用程序接口，它使用HTTP请求来获取GET，PUT，POST和DELETE等数据。从技术层面上看，RESTful API（也称为RESTful Web服务）是一种基于代表性状态转移（REST）技术，这是一种通常用于Web服务开发的架构风格和通信方法。 但随着 RESTful API 应用范围的爆炸性扩大，安全性越来越成为API架构设计中最容易被忽视的部分。 为什么API安全性很重要？ 在设计和部署RESTful API时，有以下三个核心原因可以解释为什么安全性应该是一个很重要的考虑因素。 1. 数据保护 RESTful API是一种向外界传输价值的服务方式。因此，保护通过RESTful方式提供的数据始终应该是属于高优先级。 2. DOS 攻击 如果不采取正确的安全措施，（DOS）攻击可以使RESTful API进入非功能状态。考虑到很多基础的RESTful API是开放给所有人使用的情况，通过这种类似开源的方式有助于它更好推广给市场，让更多人投入使用，但同时意味着如果有人选择对API执行DOS攻击时，它也可能导致灾难性的结果。 3. 商业影响 如今有越来多的服务平台

前言 哈喽大家又见面啦，感觉好久没更新了，这几天看了一本书《解忧杂货铺》，嗯挺好的，推荐一下😀。 不过还是要学习了，这些天简单的看了看 Id4 的资料，才发现原来关于 Id4 的系列文章真是数不胜数，而且还有很多的深度好文章， 说的灰常之详细，所以一度打消了我写这一系列的冲动和信心，不过还是有一部分的小伙伴还没有学习过，所以我决定我以后就把 IdentityServer4 的基础概念知识点，就少写些，重点写如何在项目中使用吧，本文的知识点，简单过一遍，脑子里有这个东西就行了，再以后的开发中，多动手就知道了，特别简单的，这里说明一下，在以前的Blog.Core 系列中，有关 JWT 的知识，我单拎出来一个小Demo，有不懂的可以下载看看（ https://github.com/anjoy8/BlogArti/tree/master/Blog.Core_JWT ）。 零、今天要完成 红色 的部分 一、常见术语 1、身份认证服务器（IdentityServer） IdentityServer 是基于OpenID Connect协议标准的身份认证和授权程序，它实现了OpenID Connect 和 OAuth 2.0 协议。 同样的角色，不同的文档使用不同的术语。在有些文档中，它（IdentityServer）可能会被叫做安全令牌服务器（security token service）

程序的目的主要是，在自己开发的web项目中，即提供前端页面调用访问得接口（带有安全机制），也提供第三方调用的API(基于授权认证的). 在整合的过程中发现SpringSecurity不能到即处理自己的web请求也处理第三方调用请求。所以采用拦截器拦截处理本地的web请求，spring-security-oauth对第三方认证请求进行认证与授权。如果对Oauth2.0不熟悉请参考 Oauth2.0介绍 ，程序主要演示password模式和client模式。 官方样例： https://github.com/spring-projects/spring-security-oauth/blob/master/samples/oauth2/sparklr/src/main/java/org/springframework/security/oauth/examples/sparklr/config/OAuth2ServerConfig.java 1.pom.xml < project xmlns ="http://maven.apache.org/POM/4.0.0" xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation ="http://maven.apache.org/POM/4.0.0

SSO：用户一次登陆后在多个系统免登录。 博客gem 'doorkeeper' https://i.cnblogs.com/EditPosts.aspx?postid=9255973 OAuth ：用户授权第三方应用访问自己的资源无需提供账号密码。 1. 维基百科： OAuth（开放授权）是一个开放标准， 允许用户让第三方应用（网站/app）访问该用户在另一网站（qq, 微博，微信等等）上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息，而非所有内容。 2 流程图（用git账号登陆第三方网站） 3. devise使用OmniAuth 简单易学的PPT:（作者大🐂） https://ruby-china.org/topics/15825 (笔记和摘录) 目标 OAuth2 协议怎么运行的 看懂基于OAuth2的第三方API 知道怎么用Oauth2 锁你的API(不理解) 课表 Oauth2是什么 通信协定怎么跑 制造Oauth2

How to refresh Facebook access token 　　 python代码 ： 　　　　可以用vs code来运行，依赖python2.*，如果使用python3.*可能会出现部分包不兼容 　　　　short-term token获取long-term token： 　　　　　　通过long-term token来获取long-term token，其有效期不会改变=》无效的 　　　　　　https://graph.facebook.com/oauth/access_token?grant_type=fb_exchange_token&client_id=****&client_secret=***&fb_exchange_token=***** 　　 修改后的自己的python代码 官方文档 token刷新部分 获取short-term-token & graph api调用工具 access token 工具 1.long-term token无法刷新 https://graph.facebook.com/oauth/access_token?grant_type=fb_exchange_token&client_id=****&client_secret=***&fb_exchange_token=***** 使用grant_type=fb

1.环境搭建 (1) Hbuilder百度搜索应用下载下来不用安装即可使用 (2) 电脑安装java JDK 在本地生成Hbuilder打包所需的证书文件及签名(详细方法请参考我另一篇文章) (3) 微信开放平台申请的appId与AppSecret，过程略,所需签名就是证书文件中的MD5(若出现没有MD5的情况，证明你的JDK版本过低，我用的是1.8.0_171) 2.具体代码实现 <! DOCTYPE html > < html > < head > < meta charset ="utf-8" /> < meta name ="viewport" content ="initial-scale=1.0, maximum-scale=1.0, user-scalable=no" /> < title > OAuth Example </ title > < script type ="text/javascript" > var auths = null ; // 监听plusready事件 document.addEventListener( " plusready " , function () { // 扩展API加载完毕，现在可以正常调用扩展API plus.oauth.getServices( function (services) { auths =

我们在《ASP.NET Core项目实战的课程》第一章里面给identity server4做了一个全面的介绍和示例的练习 ，这篇文章是根据大家对OIDC遇到的一些常见问题整理得出。 本文将涉及到以下几个话题： 什么是OpenId Connect (OIDC) OIDC 对oAuth进行了哪些扩展？ Identity Server4提供的OIDC认证服务（服务端） ASP.NET Core的权限体系中的OIDC认证框架（客户端） 什么是 OIDC 在了解OIDC之前，我们先看一个很常见的场景。假使我们现在有一个网站要集成微信或者新浪微博的登录，两者现在依然采用的是oAuth 2.0的协议来实现 。 关于微信和新浪微博的登录大家可以去看看它们的开发文档。 在我们的网站集成微博或者新浪微博的过程大致是分为五步： 准备工作：在微信/新浪微博开发平台注册一个应用，得到AppId和AppSecret 发起 oAauth2.0 中的 Authorization Code流程请求Code 根据Code再请求AccessToken（通常在我们应用的后端完成，用户不可见） 根据 AccessToken 访问微信/新浪微博的某一个API，来获取用户的信息 后置工作：根据用户信息来判断是否之前登录过？如果没有则创建一个用户并将这个用户作为当前用户登录（我们自己应用的登录逻辑，比如生成jwt）