為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下 OAuth2 client 與 server。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146913
本篇範圍:Chapter 6
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 由 consumer 傳送需求 scope 給 service Provider,經由驗證後,發放權杖給客戶端。接著客戶端憑此權杖來換取對應的 Access token,進而獲取相關資料
Client
Scopes – 每個 Service Provider 的格式都會有所差異
Authorization Code Grants
Requesting Authorization & Receving Access Token
Server
會需要 SSL/TLS 連線
Tokens / Grants
Refresh Tokens / Grants
Access Control ( scope )
圖片取自:https://developers.google.com/identity/protocols/oauth2?hl=zh-tw
