鐵人檔案
大多數的系統,為了區分使用者權限,都會存在著身分與角色功能,像是如同超人一般的 root,抑或是毫無存在感的 guest。系統的身分驗證功能,是非常需要注重安全的,不然人人都是 root 豈不天下大亂?未來三十天將會跟大家討論,在網頁架構下如何安全地做身分驗證。
JWK 與 JWA 定義了 JWS 與 JWE 所能使用的演算法,以及金鑰(key)的格式。 簡介 JWK JWK 直接以 Google OAuth 2.0 所...
在使用 JWT 時,必須得先了解它的特性,才不會踩到禁區或是誤解 JWT 的目的。 就結果來說,JWT 在描述一個 token 的長相,以及在資訊充足的情況下要...
之前在討論 API 身分驗證時,已有小提一下 OAuth 2.0 授權框架(以下簡稱 OAuth2)的概觀了。 授權與存取控制 在開始講細節之前,先簡單說明一下...
Authorization Code Grant 是相較其他三種授權類型而言,最複雜的一種。但就讓使用者授護的目的而言,這個授權類型相較設計的比較合理也安全。...
OAuth 2.0 對於授權流程的規範非常清楚,但它僅僅只定義到 client 拿到 token 而已。 但有兩件事並沒有在 RFC 6749 裡定義: 使用...
以目前而言,OAuth 2.0 授權框架(下簡稱 OAuth2)定義了一個相較安全的授權流程。但身分驗證並不在 OAuth2 的範疇內,而今天簡介的 OpenI...
OpenID Connect Core 定義了很完整的身分驗證流程,但一個良好可擴展的協定會是抽象化的,會保留一些細節在未來由其他協定來補充,或是留給實作者定義...
OAuth2 定義兩種 Client 類型:confidential 與 public 兩種。之前不管 OAuth2 或是 OpenID Connect,在說明...
第一天在定義範圍時,提到只討論 Web 上的身分驗證。而在鐵人賽即將結束的這一刻,來聊聊 Native App 上該怎麼透過 Web 做身分驗證吧! 首先,先定...
最後一天,來討論一個實際應用:使用者模擬(user impersonation)功能。 下面為方便辨認,簡稱為 Impersonation。 Imperso...
