您可能不需要OAuth2 / OpenID Connect:原因在这里
OAuth2和OpenID Connect被广泛认为是最安全的身份验证和授权协议。然而,它们并非无需特别安全设置的万能药。许多人过于关注这种协议,引入了专业人员并增加了与之相关的复杂性,从而将其变得更加可靠,而这不一定是必要的。
尽管OAuth2 / OpenID Connect提供了安全性和可扩展性,但它们本身并不是即插即用的解决方案。如果您不了解它们的工作原理或实现细节,那么在使用它们时会出现一些浪费。 除此之外,OAuth2 / OpenID Connect也存在相对较少的安全隐患,例如令牌劫持或跨站点脚本攻击(XSS)。 这些问题导致了一些失败,尽管失败人数很少,但一旦发生,后果非常严重。
因此,许多人甚至不需要OAuth2 / OpenID Connect来实现安全身份验证,反而建议使用更简单的解决方案。HTTP Cookie是其中一个充分考虑,而它使用简单的标准HTTP协议进行身份验证和授权。虽然它不能支持像OAuth2 / OpenID Connect那样的可扩展性,但它可以轻松地实现。
基于HTTP Cookie的解决方案更加方便和不易受攻击。 它不需要任何特定的实现并且可以与任何类型的应用程序一起使用。 HTTP Cookie还可以通过应用程序和Web浏览器之间的会话管理来确保安全性。
总的来说,OAuth2 / OpenID Connect并不是所有问题的终极解决方案。 在某些情况下,使用更简单和更原始的HTTP Cookie可能会更好,更容易实现,更安全。 通过深入分析确认自己的需求后,才能选择正确的解决方案。
了解更多有趣的事情:https://blog.ds3783.com/