OAuth协议，是一种授权协议，不涉及具体的代码，只是表示一种约定的流程和规范。OAuth协议一般用于用户决定是否把自己在某个服务商上面的资源（比如：用户基本资料、照片、视频等）授权给第三方应用访问。此外，OAuth2.0协议是OAuth协议的升级版，现在已经逐渐成为单点登录（…

首先为什么是不务正业呢...因为我们公司就我一个前端，不乖乖写页面写什么SSO。我之所以会想到去写SSO单点登录呢，一是发现公司的登录这块特别的乱，每个系统都是独立的登录，而某些业务都是有所交集的，既然一个是a.xxx.com一个是b.xxx.com，那为什么不把登录统一一下呢…

举个简单的例子。新浪微博是你的家，有时候你会想让一些人(第三方应用)去你的家里帮你办点事情，或者取点东西。你可以直接复制一把钥匙(用户名和密码)给他们，但这里存在几个问题： 别人拿了钥匙后可以去你家里的所有房间。 别人拿到你的钥匙后也许会不小心丢到，甚至故意送到它人手里。这样你…

作为从业了十多年的IT行业和程序的老司机，今天如果你说你不懂微服务，都不好意思说自己的做软件的。SOA喊了多年，无人不知，但又有多少系统开发真正的SOA了呢？但是好像一夜之间所有人都投入了微服务的怀抱。 作为目前最主流的“微服务框架”，Spring Cloud发展速度很快，成为…

其实, 前端的安全并没有很多, 不过知道了, 起码后端兄弟不会那么累了。 1. XSS方式 XSS(Cross-Site-Scripting),跨站脚本攻击是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当被攻击者登录网站时就会执行这些恶意代码, 这些脚本可以读取 cook…

CORS 和 CSRF 太容易混淆了，看完本文，你就清楚了。 1. 概念 核心知识： CORS是一个W3C标准，它允许浏览器向跨源服务器，发出XMLHttpRequest 请求，从而克服 AJAX 只能同源使用的限制。 因此，实现 CORS 通信的关键是服务器。只要服务器实现了…

在前两篇文章中我介绍了OAuth2.0协议的基本概念（https://www.zifangsky.cn/1309.html）以及OAuth2.0授权服务端从设计到实现（https://www.zifangsky.cn/1313.html）。这篇文章中我将介绍OAuth2.0授权…

在上一篇文章中，我介绍了OAuth2.0协议的基本概念以及作为一个第三方应用在请求授权服务端的时候需要做哪些事情。通过上一篇文章中调用百度OAuth服务的例子我们可以得知，使用授权码模式完成OAuth2.0授权的过程需要以下三个步骤： client通过服务端返回的Access …