OAuth2.0实战之微信授权篇
摘要:微信开发三大坑: 本篇先搞定微信OAuth2.0授权吧! 以简书的登陆页面为例,来了解一下oauth2.0验证授权的一些背景知识: 1) 传统的注册登陆方式:如果你是一个新用户,则点击新用户注册按钮,进入由简书提供的注册页面,进行用户名密码验证和设置 然后再回到简书提供的登陆页面,输入刚注册的用户名
阅读全文
posted @ 2018-06-11 18:14
随笔分类 - OAuth2.0
权限
CSRF攻击与防御(写得非常好)
摘要:转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这
阅读全文
posted @ 2017-05-04 00:28
关于CSRF攻击及mvc中的解决方案 [ValidateAntiForgeryToken]
摘要:一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的
阅读全文
posted @ 2017-05-04 00:06
谈谈基于OAuth 2.0的第三方认证 [下篇]
摘要:从安全的角度来讲,《中篇》介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的请求只提供了客户端应用的ClientID而没有提供其ClientSecret;其二,Access Token是授
阅读全文
posted @ 2016-06-16 10:22
谈谈基于OAuth 2.0的第三方认证 [中篇]
摘要:虽然我们在《上篇》分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者朋友们依然会有“不值所云” 之感,所以在介绍的内容中,我们将采用实例演示的方式对Implicit和Authori
阅读全文
posted @ 2016-06-16 10:21
谈谈基于OAuth 2.0的第三方认证 [上篇]
摘要:对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成。具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份。但是这种由Web应用全权负责的认证方式会带来如下两个问题: 对于用户来说,他们不得不针对不同的访问Web应用提供不同的用户凭证
阅读全文
posted @ 2016-06-16 10:19
Asp.Net MVC 4 Web API 中的安全认证-使用OAuth
摘要:Asp.Net MVC 4 Web API 中的安全认证-使用OAuth 各种语言实现的oauth认证: http://oauth.net/code/ 上一篇文章介绍了如何使用基本的http认证来实现asp.net web api的跨平台安全认证。 这里说明一个如何使用oauth实现的认证。oaut
阅读全文
posted @ 2015-10-30 17:13
