Entry № 843
OAuth 2.0
OAuth 2.0 是什么?
OAuth 2.0开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
OAuth 2.0 将参与方区分为资源所有者(用户)、客户端(应用)、授权服务器(签发令牌)与资源服务器(承载 API)。客户端通过特定授权流程获取访问令牌——交互式应用使用带 PKCE 的授权码,服务间调用使用 client credentials,无输入设备使用 device code——之后以 bearer 形式将令牌附加到 API 请求中。Scope 与 audience 决定令牌可执行的操作范围。OAuth 2.0 是 OpenID Connect、云平台 API 访问以及 "使用 X 登录" 按钮的基础。常见隐患包括使用 implicit grant、缺失 PKCE、redirect URI 校验不严或在客户端不安全地存储令牌。
● 示例
- 01
移动应用通过授权码 + PKCE 获取访问令牌,调用银行 API。
- 02
后端服务使用 client credentials 向第三方 API 发布事件。
● 常见问题
OAuth 2.0 是什么?
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。 它属于网络安全的 身份与访问 分类。
OAuth 2.0 是什么意思?
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
如何防御 OAuth 2.0?
针对 OAuth 2.0 的防御通常结合技术控制与运营实践,详见上方完整定义。
OAuth 2.0 还有哪些其他名称?
常见的别称包括: OAuth2。