oauth2.0

OAuth2.0进阶看起来分两种：分析CSRF攻击的防护措施与原理时，需要明白CSRF攻击是指是用户主动或不经意在恶意UI级应用（如此处指具体恶意网站，而不是恶意浏览器）触发了本应该是正常网站发出的请求，导致授权错误；跨站请求伪造，就是在非期望的网站发出了正常网站的请求，此时不要考虑到什么code窃取，脚本代替发送等概念严重混乱的情况。所以授权发起端要发出 state并且检查重定向回来时带的state是不是自己发出去的。

oidc-client.js踩坑吐槽贴前面选用了IdentityServer4做为认证授权的基础框架,感兴趣的可以看上篇<微服务下认证授权框架的探讨>,已经初步完成了authorization-code与implicit的简易demo(html+js 在IIS部署的站点),并实现了SSO,本想着将Demo迁移到vue工程是轻而易举,毕竟也没啥东西,最终拿到access_token,存储到store里,跟传统的jwt基本上一样,不出意外,意外总是会发生,不然也没办法水一篇帖子,玩笑归玩笑,如果有理解错误,或者使用不当的地方,欢迎拍砖,以免误人子

微服务下认证授权框架的探讨市面上关于认证授权的框架已经比较丰富了,大都是关于单体应用的认证授权,在分布式架构下,使用比较多的方案是--<应用网关>,网关里集中认证,将认证通过的请求再转发给代理的服务,这种中心化的方式并不适用于微服务,这里讨论另一种方案--<认证中心>,利用jwt去中心化的特性,减轻认证中心的压力,有理解错误的地方,欢迎拍砖,以免误人子弟,有点干货,但是不多

OAuth2.0比如：用户A微信扫码登录网站B，即用户A授权网站B去微信服务器拿自己的部分信息，以免去在网站B重复输入信息注册的麻烦，当然，你的微信登录密码，网站B并不知道。OAuth2.0则是定义了完成这个过程的一个标准流程。

系列十、Spring Security登录接口添加验证码一般企业开发中，登录时都会有一个验证码，基于Spring Security的登录接口默认是没有验证码的？那么如何把验证码功能集成到Spring Security的登录接口呢？请看下文！

系列四、Spring Security中的认证 & 授权（前后端不分离）前后端不分离的登录成功回调有两个关键方法，即：defaultSuccessUrl 和 successForwardUrl。那么它们之间的区别是什么呢？

微服务安全Spring Security Oauth2实战Spring Authorization Server 是一个框架，它提供了 OAuth 2.1 和 OpenID Connect 1.0 规范以及其他相关规范的实现。它建立在 Spring Security 之上，为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了一个安全、轻量级和可定制的基础。说白了，Spring Authorization Server 就是一个**认证（授权）**服务器。

spring seccurity OAuth 2.0授权服务器工作流程一、客户端配置：在configure(ClientDetailsServiceConfigurer clients)方法中，配置了一个客户端，包括客户端标识符、客户端秘密、授权类型、授权范围和令牌有效期等信息。这个客户端表示某个应用程序或服务，它将向授权服务器请求访问令牌。

Springboot 实践（9）springboot集成Oauth2.0授权包，5个接口文件配置详解前文讲解实现了spring boot集成Oauth2.0，实现了授权服务器和资源服务器的搭建，并通过浏览器和postman测试，获取到了授权码，用携带授权码的URL能够争取范文到资源。