随笔分类 -  OAuth 2.0/OIDC

摘要：原文：http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/SituationYou want to develop a RESTful web API for developers ... 阅读全文

摘要：认证是任何Web应用中不可或缺的一部分。在这个教程中，我们会讨论基于token的认证系统以及它和传统的登录系统的不同。这篇教程的末尾，你会看到一个使用 AngularJS 和 NodeJS 构建的完整的应用。 传统的认证系统 在开始说基于token的认证系统之前，我们先看一下传统的认证系统。 用户在登录域输入用户名和密码，然后点击登... 阅读全文

摘要：原文：http://drops.wooyun.org/papers/598 0x00 背景 纵观账号互通发展史，可以发现OAuth比起其它协议（如OpenID）更流行的原因是，业务双方不仅要求账号本身的认证互通（authentication；可理解为“我在双方的地盘姓甚名谁”），而是更需要双方业务流 阅读全文

摘要：适用范围 前面介绍了Client Credentials Grant ,只适合客户端的模式来使用，不涉及用户相关。而Resource Owner Password Credentials Grant模式中，用户向客户端提供自己的用户名和密码。客户端使用这些信息，向"服务商提供商"索要授权。 在这种模式中，用户必须把自己的密码给客户端，但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况... 阅读全文

摘要：文档：http://mp.weixin.qq.com/wiki/17/c0f37d5704f0b64713d5d2c37b468d75.html ！！！ 微信跟用户没有关系类接口采用了OAUTH2 【客户端模式(Client Credentials Grant)】，而跟用户有关系的接口，采用OAut 阅读全文

摘要：适应范围 采用Client Credentials方式，即应用公钥、密钥方式获取Access Token，适用于任何类型应用，但通过它所获取的Access Token只能用于访问与用户无关的Open API，并且需要开发者提前向开放平台申请，成功对接后方能使用。认证服务器不提供像用户数据这样的重要资源，仅仅是有限的只读资源或者一些开放的 API。例如使用了第三方的静态文件服务，如Google S... 阅读全文

摘要：doc: http://mp.weixin.qq.com/wiki/7/aaa137b55fb2e0456bf8dd9148dd613f.html demo：http://demo.open.weixin.qq.com/jssdk/ sandbox：http://mp.weixin.qq.com/d 阅读全文

摘要：要实现OAuth服务端，就得先理解客户端的调用流程，服务提供商实现可能也有些区别，实现OAuth服务端的方式很多，具体可能看 http://oauth.net/code/ 各语言的实现有(我使用了Apache Oltu): Java Apache Oltu Spring Security for O 阅读全文

摘要：web：http://oauth.net/2/ rfc:http://tools.ietf.org/html/rfc6749 doc：http://oauth.net/documentation/ code：http://oauth.net/code/ OAuth2.0授权类型 OAuth2.0协议定义了用于获得授权的四种主要授权类型。 Au... 阅读全文