**已关闭。**此问题正在寻求有关书籍、工具、软件库等内容的建议。它不符合Stack Overflow guidelines。当前不接受答案。
我们不允许提出问题来寻求对图书、工具、软件库等的推荐。您可以编辑问题,以便用事实和引文来回答。
上个月关门了。
Improve this question的
我需要一个学习资源(书籍,视频等)的建议,可以详细解释OAuth 2.0设计的基本原理。
我知道设计是如何工作的,但我想澄清为什么一些步骤或参数是必要的,以及如果没有它们会出现什么样的漏洞。
例如,为什么我们需要刷新令牌,为什么最后一个访问令牌不能用作刷新令牌?
请不要告诉我RFC,我已经读过了。
1条答案
按热度按时间xlpyo6sf1#
OAuth是一个授权框架。它完全是关于访问令牌和它传达的业务权限。OAuth还非常关注点分离。
为了回答您关于刷新令牌的问题,我们将短期消息凭据和另一个更新它的凭据的关注点分开。在某些用例中,它们可能具有不同的安全要求。
例如,刷新令牌可能包含对包含委托的数据库记录的引用,其中包含与同意和到期相关的详细信息。此信息与访问令牌无关。
此外,令牌刷新仅适用于客户端,客户端应在可能的情况下提供客户端凭据。流氓API不应能够刷新自己的访问令牌。很难对所有此类威胁进行推理,最好遵循许多Maven审查的标准。
在Curity,我工作的地方,我们不久前制作了这个consumer friendly OAuth overview。它旨在提供您所要求的基本原理类型。它是一个纯粹的基于标准的文章。