提出的背景:
开发系统时间授权的需求
解决思路:
方法1:各系统之间密码用户复制
方法2:万能钥匙
方法3:特殊令牌
那么目前的方案:
1.传统单块应用安全问题
代表:Cookie
登录工程:传统web应用中的身份验证技术:https://insights.thoughtworks.cn/traditional-web-app-authentication/
2.现代微服安全:Oauth
Oauth1.0实现复杂。
OAuth2.0简单。
什么是OAuth2.0
1.用于REST/APIs的代理授权框架(delegated authorization framework)。
2.基于令牌Token的授权,在无需暴露用户密码的情况下,使应用能获取对用户数据的有限访问权限。
3.解耦认证和授权。OAuth2.0只负责授权、授权、授权,不负责认证。
4.事实上的标准安全框架,支持多种用例场景
- 服务器端WebApp
- 浏览器单页SPA
- 无线/原生App
- 服务器对服务器之间
令牌类比仆从钥匙(Valet Key)
给应用授予有限的访问权限,让应用能够代表用户去访问用户的数据。就类似去泊车的时候给服务员的钥匙权限只能在附近范围移动车辆,不能打开车上的任何箱子。