认证

现代Web应用离不开用户认证。无论是登录社交账号、调用API接口，还是使用移动应用，背后都有认证机制在工作。在众多认证方案中，JWT（JSON Web Token）已经成为最流行的选择之一。它简洁、自包含、易于扩展，被广泛应用于单点登录、API认证、微服务架构等场景。 ...

你打开一个新的网站,点击"使用GitHub登录",页面跳转到GitHub授权页面,你点击同意,然后自动返回原网站并完成登录。整个过程不到十秒钟,但你有没有想过背后发生了什么?为什么这个网站能获取你的GitHub信息,却不需要你的GitHub密码? ...

2012年7月，OAuth 2.0规范的主要作者Eran Hammer宣布辞职。他在博客中写道：“OAuth 2.0是一个坏协议。“这不是一时冲动——作为OAuth 1.0的创建者和OAuth 2.0的首席编辑，他在三年间目睹了协议在商业利益博弈中逐渐失去安全初心。十多年后，OAuth已成为互联网授权的事实标准，每月处理着数以十亿计的登录请求。但Hammer的警告正在被验证：OAuth本身是安全的，但实现OAuth的人总是犯错。 ...