OAuth 2.0授权框架:从授权码流程到PKCE的完整技术指南
你打开一个新的网站,点击"使用GitHub登录",页面跳转到GitHub授权页面,你点击同意,然后自动返回原网站并完成登录。整个过程不到十秒钟,但你有没有想过背后发生了什么?为什么这个网站能获取你的GitHub信息,却不需要你的GitHub密码? ...
OpenID Connect
OAuth 2.0的隐形陷阱:为什么这个授权标准让无数开发者踩坑
2012年7月,OAuth 2.0规范的主要作者Eran Hammer宣布辞职。他在博客中写道:“OAuth 2.0是一个坏协议。“这不是一时冲动——作为OAuth 1.0的创建者和OAuth 2.0的首席编辑,他在三年间目睹了协议在商业利益博弈中逐渐失去安全初心。十多年后,OAuth已成为互联网授权的事实标准,每月处理着数以十亿计的登录请求。但Hammer的警告正在被验证:OAuth本身是安全的,但实现OAuth的人总是犯错。 ...