首页
学习
活动
专区
圈层
工具
发布
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    API安全综述

    API访问控制的行业标准是OAuth2.0。图1展示了基于OAuth API调用的两个活动,一个应用需要从一个有效的身份提供程序获取token,然后在每次API调用中发送将其发送到API网关。...一个OAuth token可以关联任意多个作用域。...例如,一个后端服务可能是一个使用OAuth防护的API。这种情况下,API层可能作为一个OAuth客户端,并在每个后端调用中提供有效的token。...基于分析的安全性 API 层是暴露一个组织所有功能的核心。因此,可以在API层的API操作中捕获大量信息,这些信息可以用来洞察安全性并推测可能存在的威胁。 首先,考虑审核方面。...此外,组织可能期望它的用户使用他们的Google或FaceBook凭证来访问APIs,这类云身份供应商使用了如OpenID Connect、SAML、或自定义的协议。

    1.4K20

    4.OIDC(OpenId Connect)身份认证授权(核心部分)

    OIDC已经有很多的企业在使用,比如Google的账号认证授权体系,Microsoft的账号体系也部署了OIDC,当然这些企业有的也是OIDC背后的推动者。...定义OIDC的核心功能,在OAuth 2.0之上构建身份认证,以及如何使用Claims来传递用户的信息。 Discovery:可选。...看起来是挺多的,不要被吓到,其实并不是很复杂,除了Core核心规范内容多一点之外,另外7个都是很简单且简短的规范,另外Core是基于OAuth2的,也就是说其中很多东西在复用OAuth2,所以说你理解了...3 OIDC 核心概念 OAuth2提供了Access Token来解决授权第三方客户端访问受保护资源的问题;OIDC在这个基础上提供了ID Token来解决第三方客户端标识用户身份认证的问题。...3.1 OIDC 主要术语 主要的术语以及概念介绍(完整术语参见http://openid.net/specs/openid-connect-core-1_0.html#Terminology): EU

    5.9K50
    领券