深入理解OAuth 2.0 – 核心组件与实际应用 | The Nuts and Bolts of OAuth 2.0

全面了解 OAuth 2.0、OpenID、PKCE、废弃的流程、JWT、API 网关以及权限管理 —— 无需编程经验！

您将会学到

• OAuth 2.0 和 OpenID Connect 的基础内容
• 如何从头开始实现一个 OAuth 客户端
• 开发 OAuth 应用程序的最佳实践（服务器端、原生应用和单页应用程序）
• 如何用 JWT 访问令牌保护 API

课程要求

• 对 HTTP 请求、响应和 JSON 有基础的认识
• 具备 Postman、curl 或其他 HTTP 客户端的使用经验

课程描述

OAuth 2.0 已成为网络 API 安全访问的行业标准，允许应用程序在不影响安全性的前提下访问用户数据。全球公司纷纷在其 API 中集成 OAuth，以实现从自有移动应用和第三方物联网设备的安全访问，甚至包括银行 API 的访问。

安全专家 Aaron Parecki 深入剖析了 OAuth 的各种授权流程，并结合 Web 应用、原生应用和单页应用的实际案例进行讲解。此外，你还将了解到应用程序如何利用 OAuth 访问 API，以及如何通过 OpenID Connect 获取用户身份信息。

如果你正在开发一个 API，你会了解不同访问令牌格式的区别和取舍，如何选择合适的访问令牌生命周期，以及如何设计权限范围来保护 API 的不同部分。

本课程涵盖了 OAuth 工作组最新的建议，包括使用 PKCE 为所有类型的应用程序，以及解释为何从规范中移除隐式和密码授权等。这些安全建议及其他内容将被纳入 OAuth 2.1 的更新中，因此这门课程将为你学习未来如何最佳使用 OAuth 打下坚实基础！

课程学习成果

完成本课程后，你将理解：

• OAuth 旨在解决的根本问题
• OAuth 2.0 和 OpenID Connect 的基础内容
• 开发基于 Web 和原生 OAuth 应用程序的最佳实践
• 本地和远程访问令牌验证的差异
• 如何验证 JWT 访问令牌

你将可以：

• 从头开发一个 OAuth 客户端
• 保护原生和 JavaScript 应用中的 OAuth 流程安全
• 通过 OpenID Connect 获取用户姓名和邮箱地址
• 使用 OAuth 访问令牌来保护 API
• 设计权限范围以保护 API 的不同部分

课程适合人群

这个课程适合你，原因如下：

• 您是软件架构师、应用开发者或技术决策者
• 你使用 API、Web 应用、移动应用或微服务
• 你希望深入理解应用安全并成为技术领域的领导者

前置要求

• 对 HTTP 请求、响应和 JSON 有基础的认识
• 无需编程语言知识，因为练习无需编写代码即可完成！

练习必备工具

• 具备 Postman、curl 或其他 HTTP 客户端的使用经验
• 免费 Auth0 开发者账号

课程特色优势

这门课程还为您提供独家访问权限，您可以通过一个交互式网络工具来练习，并在过程中获得实时反馈！这就像在您练习时，讲师正在提供实时反馈一样！

目标受众

• 软件架构师、应用开发人员或技术决策者
• 希望提升其 API 安全性的 API 开发者