这次主要讲的内容是《OAuth2》,不得不说,这个也是之前我想了解但一直没有仔细了解过的内容!而这次老师从OAuth2是什么,为什么要用OAuth2等角度把OAuth2讲的还是比较清晰的。不过,对于我这种新手来说,课程一共两个小时,前一个小时的内容我基本都还是可以理解的!但是后一个小时,也就是加上代码之后,说句实话,我又有一些懵圈了,因为很多配置和相关的固定写法,我觉得我必须得在反复看看才能理解并记住!好了先记录下这次的重点内容吧! OAuth2.0有4种授权模式,相对比于OAuth1的改进有如下几点: 改进1:去掉签名,改用SSL (HTTPS) 确保安全性。 改进2:所有的token不再有对应的secret存在,签名过程简洁,这也直 接导致OAuth2.0不兼容老版本。 改进3:能更好地支持不是基于浏览器的应用。 改进4: OAuth2.0的访问令牌是“短命的”,且有刷新令牌 而OAuth1只有一种授权模式。它的主要过程如下: 1.用的是http协议,申请RequestToken过程中,容易被攻击者调包。 2攻击者调包后的目的就是伪造回调地址,拿到用户的access Token。
OAuth2角色如下:
授权模式
关于四种授权模式如下:
好了,这次就先分享到这!明天早上还有课!加油!
