為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下 OAuth 的內容。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146906
本篇範圍:Chapter 6
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. 驗證 Authentication – 使用者登入系統、使用者帳密是否存在 -> OK 後,允許使用者存取
2. 授權 Authorization – 授權使用者後,其權限管理
授權是一種系統整合,OAuth 會給予一組 Access Token 給使用者
OAuth1
需要生成 signature,且生成的 token 是長期的,並不會自動過期
OAuth2
無需生成 signature,而是透過 access token 來識別使用者
可產生短期的 token 或是 Bearer token
