还剩8页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
《认证技术》OAuth课件PPT认证技术#OAuth什么是OAuth是一种开放标准的授权协议,用于授权第三方应用程序访问用户资源,OAuth而不需要用户提供其登录凭据的优点包括提高安全性、简化用户体OAuth验、增强应用的互操作性的四种角色OAuth
2.0资源拥有者客户端拥有授权服务器和资源服务器上的用户资源请求访问资源的第三方应用程序授权服务器资源服务器验证资源拥有者并颁发访问令牌存储和提供受保护的用户资源的四种授权类型OAuth
2.0授权码模式隐藏式授权模式12适合应用程序,通过交换授权码获取访适合浏览器应用程序,将访问令牌直接返回Web问令牌给客户端密码模式客户端模式34适合受信任的应用程序,资源拥有者直接提适合机器对机器通信,用于客户端直接获取供用户名和密码给客户端访问令牌的流程OAuth
2.0授权请求1客户端向授权服务器请求授权,并提供应用程序的详细信息授权许可2资源拥有者同意授权请求,并将授权许可发送给授权服务器得到许可证3授权服务器向客户端颁发访问令牌发送许可证请求4客户端将访问令牌发送给资源服务器以获取用户资源得到许可证5资源服务器验证访问令牌并向客户端返回用户资源的安全性问题OAuth
2.0安全风险安全措施12泄露或劫持访问令牌,未经授权的访问用户使用通信、密钥保护、访问令牌时效HTTPS资源性限制等的优化OAuth
2.01JWT令牌提供了一种紧凑、自我包含且具有可验证性的令牌格式JSON Web2PKCE交互式应用程序使用随机生成的代码验证授权请求,增强了安全性应用场景OAuth第三方应用程序许多社交媒体和云服务允许第三方应用程序访问用户资源单点登录可用于实现单点登录系统,使用户在多个应用程序之间无需重复登录OAuth与OAuth OpenID Connect的概述1OpenID Connect在的基础上加入了身份验证,可用于认证和授权OpenID ConnectOAuth
2.0的优点2OpenIDConnect提供了身份验证和授权的一体化解决方案,减少了应用程序的复杂性总结的优点1OAuth提高了安全性、简化了用户体验、增强了应用的互操作性的局限性2OAuth需要用户授权、存在安全风险、复杂性较大授权流程的简化
3、等技术可以优化的流程和安全性JWT PKCEOAuth。