Miles' Blog

簡介其他 OpenID Connect 協定的內容

發表於 2019-10-13 分類於 IT鐵人賽， 11th Disqus：

OpenID Connect Core 定義了很完整的身分驗證流程，但一個良好可擴展的協定會是抽象化的，會保留一些細節在未來由其他協定來補充，或是留給實作者定義。

發表於 2019-10-12 分類於 IT鐵人賽， 11th Disqus：

以目前而言，OAuth 2.0 授權框架（下簡稱 OAuth2）定義了一個相較安全的授權流程。但身分驗證並不在 OAuth2 的範疇內，而今天簡介的 OpenID Connect 正是基於 OAuth2 的基礎上，再另外定義了身分驗證的流程。

發表於 2019-10-11 分類於 IT鐵人賽， 11th Disqus：

OAuth 2.0 對於授權流程的規範非常清楚，但它僅僅只定義到 client 拿到 token 而已。

發表於 2019-10-10 分類於 IT鐵人賽， 11th Disqus：

Authorization Code Grant 是相較其他三種授權類型而言，最複雜的一種。但就讓使用者授護的目的而言，這個授權類型相較設計的比較合理也安全。

發表於 2019-10-09 分類於 IT鐵人賽， 11th Disqus：

之前在討論 API 身分驗證時，已有小提一下 OAuth 2.0 授權框架（以下簡稱 OAuth2）的概觀了。

發表於 2019-10-08 分類於 IT鐵人賽， 11th Disqus：

在使用 JWT 時，必須得先了解它的特性，才不會踩到禁區或是誤解 JWT 的目的。

發表於 2019-10-07 分類於 IT鐵人賽， 11th Disqus：

JWK 與 JWA 定義了 JWS 與 JWE 所能使用的演算法，以及金鑰（key）的格式。

發表於 2019-10-06 分類於 IT鐵人賽， 11th Disqus：

JWS 能保護資料的完整性，但資料傳輸過程是明碼傳輸，因此有心人士還是有辦法截取 JWS Payload 裡的內容做其他利用。如果內容也不希望被其他人看到的話，那還有另一個選擇就是 JWE－－RFC 7516 - JSON Web Encryption。

發表於 2019-10-05 分類於 IT鐵人賽， 11th Disqus：

JWS 的全名為 JSON Web Signature，定義在 RFC 7515 裡面，主要定義了資訊的格式以及序列化（serialization）的方法。從名字可以看得出，它有使用到數位簽章技術，或是它也可以使用訊息驗證碼來確保資料的來源以及完整性。

發表於 2019-10-04 分類於 IT鐵人賽， 11th Disqus：

密碼管理在討論的主要以使用者所輸入的密碼為主，而有另一種類似密碼用途的字串，也用在身分驗證上，正是 token。接下來會來討論最近不少人在使用的 JWT，它是一個開放標準，可以用在需要安全交換資料的場景上。