OAuth 2.0

架构案例：基于OAuth 2.0/JWT的微服务参考架构 架构图 令牌的校验和转换，将前端传递过来的 OAuth 2.0 访问令牌，通过调用 IDP 进行校验，并转换为包含用户和权限信息的

OAuth 2.0的工作流程与安全问题 第三方软件的前端页面。但是，如果直接返回到前端页面上，访问令牌是很容易被通过浏览器截获的，所以显然不可取。 通过后端传输。第三方软件的后端和授权

利用OAuth 2.0实现一个OpenID Connect用户身份认证协议 OIDC OIDC 其实就是一种用户身份认证的开放标准。使用微信账号登录极客时间的场景，就是这种开放标准的实

CSRF 攻击 恶意软件让浏览器向已完成用户身份认证的网站发起请求，并执行有害的操作，就是跨站请求伪造攻击。 XSS 攻击 XSS

App分为有server和无server端 如果有 Server 端，就建议通过 Server 端和授权服务做交互来换取访问令牌； 如果没有 Se

如果小兔打单软件是京东官方开发的软件，就不用再走一遍授权码许可类型的流程。 资源拥有者凭据许可 小兔软件只需要使用一次用户名和密码

构建第三方软件应用 第一点，注册信息 小兔软件的研发人员提前登录到京东商家开放平台进行手动注册，以便后续使用这些注册的相关信息来请求访问令牌。兔软件

JWT 结构化令牌 JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式，用于作为

授权服务的工作过程 小兔软件需要去到京东的平台那里”备案“注册，京东商家开放平台就会给小兔软件 app_id 和 app_secret 等信息

小兔最终是通过访问令牌请求到小明的店铺里的订单数据。这个访问令牌是通过授权码换来的。为什么要用授权码来换令牌？为什么不能直接颁发访问令牌呢? 为什么

登录虎扑的时候，我们可以选择微信、QQ登录。这背后的原理就室OAuth 2.0 OAuth 2.0 是什么？ 比如我要去面试，去到美团的大楼