认证演进史(六):实战——设计一个现代认证系统
前五篇我们学习了 Session、JWT、OAuth 2.0、OIDC、Passkey。 你可能会问:实际项目该用哪个? 答案是:通常不止用一个。 这篇我们来设计一个真实的现代认证系统。 ...
认证演进史
认证演进史(五):Passkey——告别密码
我们在密码安全系列讲过各种保护密码的方法:加盐哈希、慢哈希、Argon2… 但所有这些努力都在解决一个问题:密码泄露后怎么办。 有没有可能从根本上解决问题?让密码不存在? 这就是 Passkey。 ...
认证演进史(四):OpenID Connect——标准化的身份层
上一篇我们说过:OAuth 2.0 是授权协议,不是认证协议。 用 OAuth 做登录有安全风险。那正确的做法是什么? 答案是:OpenID Connect(OIDC)。 ...
认证演进史(三):OAuth 2.0——让别人帮你认证
你想让用户用微信登录你的 App,但你不想(也不应该)知道他的微信密码。怎么办? 这就是 OAuth 2.0 要解决的问题。 ...
认证演进史(二):JWT——把状态装进令牌
上一篇我们讲了 Session:服务器用一个"小本本"记住你是谁。 但这个小本本带来了新问题:服务器有状态了。在微服务和水平扩展的时代,这是个大麻烦。 有没有办法让服务器什么都不存,却还能验证你的身份? ...
认证演进史(一):Session——服务器说"我记得你"
你登录了网站,刷新页面,还是登录状态。点击"我的订单",不用再输密码。这背后是什么魔法? 答案是:服务器在偷偷记着你。 ...