菲洛嘉青春动能素135HA FILLMED® NCTF 135HA LED指示灯的常见故障分析 智微智能 Elkhartlake K075终端,零售产业新选择 天空蓝拓客管理系统详细介绍版 muso公链项目 天使计划 是什么?[秘] 独家揭秘最前沿的家装“黑科技”——掌赋 天博体育欧洲杯特辑,东道主法兰西的失意2016 亚马逊的送货侦察员 学习听起来像挡泥板 Google Comics Factory使ML变得容易 笑着说-男性或女性 Amazon Rekognition中更好的人脸检测 关于Spaun的真相-大脑模拟 两个聊天机器人彼此聊天-有趣又怪异 GANPaint:将AI用于艺术 WCF和WF给予社区 从耳朵到脸 所有神经网络的深层缺陷 蠕虫在尾巴上平衡杆子 Kickstarter上的OpenCV AI套件 TensorFlow-Google的开源AI和计算引擎 众包取代新闻工作者 Google的DeepMind学会玩街机游戏 哑机器人V智能机器人 .NET与.NET 5融为一体 Google的深度学习-语音识别 LInQer将.NET LINQ移植到Javascript 机器人TED演讲-新的图灵测试? GAN的发明者加入苹果 您的智能手机会监视您键入的内容 人工智能帮助改善国际象棋 Zalando Flair NLP库已更新 TensorFlow 1.5包含移动版本 AlphaGo输了一场比赛-比分3-1 虚拟机器学习峰会 Microsoft开源AI调试工具 SharePoint走向移动 F#4.0发出文化变革的信号 克里斯蒂拍卖AI艺术品 人工智能如何区分 Facebook在蒙特利尔的新AI实验室 Mozilla想要您的声音 微软使用极深的神经网络赢得ImageNet 建立AI合作伙伴关系 .NET Core 3-Microsoft几乎回到了起点 神经网络-更好的销售商? Google使用AI查找您的住所 虹膜-适用于Android的Siri证明苹果没有优势 TensorFlow 2提供更快的模型训练 深度学习研究人员将为Google工作
您的位置:首页 >开发 >

OAuth 2.0和OpenID Connect简介

熟悉OpenID和OAuth确实很困难,要经历数十种规范,更糟糕的是,这两个协议涉及不同的术语。为了提供帮助,Pragmatic Web Security提供了有关OAuth和OIDC 101的免费且出色的课程。

oathlogo

这是一门完全成熟的课程,包含视频,文本,演示场景,作业和评估,旨在使OAuth和OIDC的核心及其相互连接神秘化。

它依靠基于云的Auth0身份提供程序来运行OAuth 2.0和OpenID Connect流,因为设置Auth0租户既简单又免费。当然,请注意,不应将Auth0的使用视为认可。

关于材料本身,它分为六个章节:

OAuth 2.0和OpenID Connect的概念性想法将OAuth 2.0与后端Web客户端一起使用介绍OpenID ConnectMobile和本机客户端前端Web客户端其他流程摘要和结论

在整个课程中运行的用例场景是Restograde,这是一种餐厅评论应用程序,它允许用户留下有关他们最喜欢的餐厅的评论。它只不过是连接到后端API的简单前端应用程序,而该API又又连接到后台的数据库。

到目前为止,一切都很好,不需要像OAuth这样的复杂授权方案。但是,第三方应用程序需要能够连接到Restograde的API。这涉及另一个名为Virtualfoodie的应用程序,该应用程序具有与Restograde类似的功能,因为它允许用户浏览和评价餐馆。现在,它希望集成Restograde的“用户”数据,以为其自己的用户提供更丰富的体验。

oauth2

因此,Virtualfoodie需要联系Restograde的API,并为此必须进行授权-可以使用OAuth来完成。此外,Virtualfoodie希望允许其用户使用Retrograde的凭据登录。为此,我们使用OpenID。

这里的主要区别是身份验证与授权。OAuth启用客户端和API之间的授权,而OpenID允许通过身份提供者进行用户身份验证。

简介性章节通过清楚地区分OAuth的范围和用例,很好地将事情纳入了视角。

下一章将介绍OAuth流程的幕后知识。我们发现在Auth平台上实现自定义安全令牌服务,注册后端客户端并通过OpenID启用单点登录方案,将身份验证工作转移到集中的提供者是多么容易。

解决了OAuth流下服务器端应用程序/后端API的连接方式后,该类处理了该流的本机端和移动客户端,这已证明不如服务器端应用程序那样安全。

然后我们转到面临挑战的前端客户端和SPA(Singler Page Applications)。原始的OAuth 2.0规范定义了四个不同的OAuth 2.0流:

授权代码流隐式流资源所有者密码凭证流客户端凭证流

使用HTML和jQuery构建的传统Web客户端仍使用“隐式”流程,但是该流程被认为已弃用,而SPA的较新版本遵循PKCE的“授权代码”流程。如今,第一个和最后一个流程仍然有意义。查看这些附加流程,并在简要总结之后,总结课程。

oauth3

总而言之,这是一个精心计划和执行的课程。界面简洁,材料井井有条,凝聚力强,教师表现出镇定的态度,并花了一些时间解释概念,同时还附有清晰的动画图。

免费提供“ OAuth2.0和OpenID Connect简介”时,讲师Dr.Philippe De Ryck还提供了更高级的“ Mastering OAuth 2.0和OpenID Connect”作为付费后续服务。如果您由于工作或其他要求而希望深入研究该主题,那么我肯定会推荐该主题,这是从其免费对等方的良好经验来看的。

prgwebsec

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。