人人网开放平台验证与授权方面的实践(最终).pdf

人人网开放平台 验证与授权 实践 开场 白 我叫戴洵 API OAuthT/Z 人人Profile /xundai Email xun.dai@ 目录 •  开放带来的问题 •  OAuth 1.0的帅呆与鸭梨 •  OAuth 2.0的弹性 •  OAuth 2.0的Single Sign On –  Web SSO 、Mobile SSO •  OAuth 2.0实现的经验 –  Token的设计 –  HTTPS的问题 缩写 •  Autht = Authentication （验证） •  Authz = Authorization （授权） •  中间凭证 = Authorization Grant •  Password = Resource Owner Password Credentials 实践之路 •  07年11月：OAuth Core 1.0 （社区） •  07年12月：OpenID 2.0 正式发布 •  08年07月：人人（校内）网开放平台正式发布 •  09年05月：人人Connect 发布 •  09年07月：OAuth 1.0a Draft 00 •  09年09月：人人OAuth 1.0 •  10年07月：OAuth 2.0 Draft 00 •  10年11月：人人OAuth 2.0 场景 1 开放带来的问题 2008年 互联网上有很多 APP APP 人人 APP 人人 Internet APP APP 人人 X X “嘿！我的用户想访问他们 存储在你那里的资源。” APP APP 人人 X X “ 出来混都不容易，我顶你！ 我开放API ！” 人人 + APP API X X HTTP BASIC “给你钥匙，要慎用哦！” 人人 + APP API X X 某哥哥：“妹妹， 今晚7点村头玉 米地见。” 某姐姐：“我银 人人 行密码是XXX 。” + APP API 坏坏 悲了个剧