OAuth 2.0 的基本要素

Contents

涵蓋 OAuth 2.0、OpenID、PKCE、仍可使用但準備不再被支援的流程、JWT、API 網關和範圍。無需程式設計知識

從這 3.5 小時的課程，你會學到

OAuth 2.0 和 OpenID Connect 的基礎知識
如何從頭開始實現 OAuth 客戶端
開發 OAuth 應用程式（伺服器端、本機和 SPA）的最佳實踐
如何使用 JWT 訪問令牌保護 API

要求

對 HTTP 請求、響應和 JSON 的基本了解
具有 Postman、curl 或任何其他 HTTP 客戶端的經驗

課程說明

OAuth 2.0 已成為提供對 Web API 的安全訪問的行業標準，允許應用程式在不影響安全性的情況下訪問用戶資料。世界各地的公司都將 OAuth 添加到他們的 API 中，以實現從他們自己的行動應用程式和第三方物聯網設備進行安全訪問，甚至訪問銀行 API。

安全專家 Aaron Parecki 分解了每個 OAuth 流程（授權類型）並將它們應用於用例，例如為 Web 應用程式、本機應用程式和 SPA 實施 OAuth。除了學習應用程式如何使用 OAuth 訪問 API 之外，你還將學習如何使用 OpenID Connect 獲取用戶的身份。

如果你正在建構 API，你將了解不同訪問令牌格式之間的差異和權衡、如何選擇合適的訪問令牌生命週期以及如何設計範圍以保護 API 的各個部分。

本課程包括來自 OAuth 工作組的最新建議，包括從將 PKCE 用於所有類型的應用程式到解釋從規範中刪除隱式和密碼授權背後的動機的所有內容。這些安全建議以及更多內容將整合到新的 OAuth 2.1 更新中，因此本課程將提供你一個良好的開端，讓你在學習未來使用 OAuth 的最佳方式方面有一個良好的開端！

在本課程結束時，你將了解：

OAuth 旨在解決的問題
OAuth 2.0 和 OpenID Connect 的基礎知識
開發基於 Web 和本機 OAuth 應用程序式的最佳實踐
本地和遠程訪問令牌驗證之間的區別
如何驗證 JWT 訪問令牌

你將能夠：

從頭開始實施 OAuth 客戶端
保護本機和 JavaScript 應用程式中的 OAuth 流程
使用 OpenID Connect 獲取用戶的姓名電子郵件地址
使用 OAuth 訪問令牌保護 API
設計範圍以保護 API 的各個部分

本課程適合你，如果…

你是軟體架構師、應用程式開發人員或技術決策者
你使用 API、Web 應用程式、行動應用程式或微服務
你想加深對應用程式安全的理解並成為技術領導者

先決條件

對 HTTP 請求、響應和 JSON 的基本了解
無需程式語言知識，因為無需編寫任何程式碼即可完成練習！

要進行練習，您還需要：

具有 Postman、curl 或任何其他 HTTP 客戶端的經驗
免費的 Auth0 開發者帳戶

本課程還提供你獨家訪問基於 Web 的互動式工具的權限，該工具將指導你完成練習並在此過程中提供反饋！這就像讓講師在你完成練習時提供實時反饋一樣！

目標受眾

軟體架構師、應用程式開發人員或技術決策者
希望更好地保護其 API 的 API 開發人員

講師簡介

Aaron Parecki OAuth 專家和作者

Aaron Parecki 是 Okta 的高級安全架構師。他是 OAuth 2.0 Simplified 的作者，這是構建 OAuth 應用程式和伺服器的指南。他經常撰寫有關 OAuth 和在線安全的文章並發表演講，並且是 IETF OAuth 工作組中多個規範的編輯。 Aaron 曾在世界各地的會議上發表過有關 OAuth、資料所有權、量化自我和家庭自動化的演講，他的作品曾在 Wired、Fast Company 等雜誌上發表過專題報導。