孤尽班第九次课– OAuth2
Oauth2.0 和 1.0 的区别
OAuth2.0 有四种授权模式
OAuth1.0 有一种授权模式
OAuth2 授权模式
1. 授权码模式 最完整和严谨的授权模式,第三方平台登录都是此模式 安全性最高
2. 简化模式 省略授权码阶,客户端是静态页面采用此模式
3. 密码模式 把 用户名密码告诉客户端,对客户高度信任,比如客户单和认证服务器是同一公司
4. 客户端模式 直接以客户端名义申请令牌,很少用
为什么要用OAuth2
Cookie session 和 token的区别
1.cookie 是不能跨域的,前后端分离分布式架构实现多系统SSO 非常困难。
2. 移动端实现没有cookie 所以对于移动端支持不好
3. token 基于header 传递,部分解决了CSRF 攻击
4. token 要比sessionID 大, 客户端存储在LocalStorage 中,可以直接被JS 读取.
授权模式
access_token: 访问令牌,携带此令牌访问资源
token_type: 有Mac Token 与 Bearer Token 两种类型,建议Oauth2 采用Bearer To
refresh_token: 刷新令牌,使用此令牌可以访问令牌的过期时间。
expiress_in: 过期时间,单位为秒
scope: 范围,与定义的客户端范围一致。
jti : 当前toker 的唯一标识
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/77131.html
