'Wprowadzenie do OAuth 2.0 i OpenID Connect' / Aleksander Żelazny

preview_player
Показать описание
Do Ubera logujemy się bez problemu wykorzystując konto na gmailu, a Spotify sugeruje osoby warte obserwowania na podstawie naszych znajomych z Facebooka. Skąd mamy jednak pewność, że Uber nie przeczyta naszych maili? Czy Spotify podczas przeglądania naszych znajomych może któregoś z nich usunąć? W trakcie tego wystąpienia opowiem o protokole OAuth 2.0, w jaki sposób gwarantuje on bezpieczeństwo w zależności od typu aplikacji oraz czym tak właściwie różni się od OpenID Connect.

Aleksander Żelazny - Programista Allegro na co dzień zajmujący się sprawami API. Entuzjasta dzielenia się wiedzą i wszystkiego co ciekawe. W czasie wolnym poznaje świat.

Timestamps
0:00 Intro
10:37 Authorization code
23:30 Refresh token
25:34 Implicit grant
26:19 Authorization code grant + PKCE
33:23 Device authorization grant
37:48 Client credentials
  1. Poznań JUG
  2. openid
  3. oauth
  4. poznanjug
  5. jugademy
  6. java
Рекомендации по теме
'Wprowadzenie do OAuth 0:45:50

'Wprowadzenie do OAuth 2.0 i OpenID Connect' / Aleksander Żelazny

OAuth2 w Integracji 0:13:51

OAuth2 w Integracji z Facebookiem

OAuth2.0 Token authentication 0:22:17

OAuth2.0 Token authentication with AL code for Business central -Part 2

[#254] ⚡️ Jak 0:16:26

[#254] ⚡️ Jak zbudować w ZABBIXie logowanie po SAML z Azurem i co nowego w wersji 5.0 - Paweł Jarosz...

Logowanie via Github 0:21:41

Logowanie via Github ⚡️ Next + NextAuth + Prisma

Imgur Client ID 0:00:34

Imgur Client ID | Divly.pl Gotowa strona dla fotografów

Authorization Code Grant 0:04:25

Authorization Code Grant Flow Overview

OAuth and OpenID 0:22:53

OAuth and OpenID Connect - What's Next?

Jedno logowanie, by 0:00:47

Jedno logowanie, by nimi wszystkimi rządzić - czyli OpenID w praktyce

REST API i 0:10:38

REST API i Postman (gościnnie Bartek Kaczor)

Newman Postman - 0:05:55

Newman Postman - Kurs testowanie oprogramowania (10/15)

Spring Security. Skuteczne 0:01:28

Spring Security. Skuteczne metody zabezpieczeń aplikacji - trailer kursu | Videopoint.pl

React#0 - Co 0:08:48

React#0 - Co to jest SPA - Single Page App

OAuth – the 0:54:16

OAuth – the good Parts - Dominick Baier - NDC Oslo 2021

Podsumowanie Pierwszej Części 0:05:11

Podsumowanie Pierwszej Części Projektu - Spring Security + Angular + Docker

Day 4 - 1:06:51

Day 4 - OAuthServer.NET - Add Implicit Flow from OAuth 2.0 Protocol and Test Asp.NET Core MVC WebApp

Bubble.io Tutorial - 0:05:18

Bubble.io Tutorial - Google Login hinzufügen (OAuth Google, Login mit Gmail) [Deutsch]

oAuth in Desktop 0:12:28

oAuth in Desktop Application using C# (Shopify oAuth)

Kurs Vue.js - 0:07:23

Kurs Vue.js - od podstaw | Przekierowania i dopasowywanie dynamiczne | ▶strefakursow.pl◀

Prosty i szybki 0:10:59

Prosty i szybki deploy apki webowej Node.js na serwer VPS

Wojciech Galanciak: Apigility 0:49:20

Wojciech Galanciak: Apigility i Apache Cordova, czyli aplikacje mobilne w świecie PHP

Jak wygenerować token 0:20:46

Jak wygenerować token i jak dokonać autoryzacji w Postmanie?

Microsoft Azure - 0:02:16

Microsoft Azure - Rejestracja za pomocą Opolskiej eSzkoły

PyWaw #75 - 0:37:00

PyWaw #75 - Dobre praktyki w Django REST Framework

Комментарии
Автор

10:37 grant type - authorization code
23:30 grant type - refresh token
25:34 grant type - implicit grant
26:19 grant type - Authorization code grant + PKCE
33:23 grant type - device authorization grant
37:48 grant type - client credentials

authorization code - for confidential client, uses secretId in authorization request
refresh token - for refreshing authorization token
implicit grant - deprecated because unsafe client (public client) gets authorization token in response
client credentials - for API actions that don't need to use user context for example accessing public data

michanielipinski
Автор

Aleksander kudosy, super wytłumaczone. bardzo bardzo dobry materiał

krzysztoflewandowski
Автор

Świetnie wyjaśnione! Nie tylko jak, ale też dlaczego w ogóle nam to potrzebne i w jaki sposób jesteśmy potencjalnie narażeni na atak — dzięki!

kamillatosinski
Автор

2024AD nagranie dalej jest turbo przydatne bo właśnie przerabiam OAuth za pomocą książki Bezpieczeństwo aplikacji webowych od Sekuraka ;)

ArekTheBoss
Автор

Czy OAuth może być zastosowany do ataku na czyjeś konto i wyłudzić dane czy nawet całą bezę, a nawet dostępu do kont zewnętrznych?

MariuszTomczyk-hrmi
Автор

Prezentacja bardzo ok. BTW. Autentykacja to po polsku uwierzytelnianie.

MarcinMierzejewskiWAW
Автор

Na moje oko jest to zbyt skomplikowane, a po co? Ano po to aby wykradać loginy i hasła. Pamiętajcie - najprostrze rozwiązania są najlepsze, w życiu wystarczy login i hasło i nikomu nie wolno go podawać, i nikt nie powinien mieć prawa pytać o nie, a tak sie wlasnie dzieje...

zespoalwaysclassic
Автор

Mam pytanie, ten Yelp i to logowanie to to bylo oauth password grant type? Czy to w ogóle co innego było?

bboyPrzemek
join shbcf.ru