Почему приложения никогда не запрашивают ваш пароль: OAuth 2.0 + PKCE скачать в хорошем качестве

Почему приложения никогда не запрашивают ваш пароль: OAuth 2.0 + PKCE

Объяснение OAuth 2.0 и PKCE: почему приложения никогда не запрашивают ваш пароль Twitter/Google (Серия «Аутентификация», часть 2/3) Изучите OAuth 2.0 и авторизацию PKCE — фреймворк безопасности, защищающий миллиарды API-вызовов каждый день. В этом руководстве подробно рассматриваются сторонняя авторизация, безопасность на основе токенов и то, почему вашим приложениям никогда не нужны пароли пользователей. 🔐 Что вы узнаете: Основы OAuth 2.0 и почему он заменил общий доступ к паролям Реализация PKCE (Proof Key for Code Exchange) для мобильных и веб-приложений Авторизация и аутентификация — критически важное различие, которое упускают разработчики 4 участника: владелец ресурса, клиент, сервер авторизации, сервер ресурсов Пошаговое руководство по коду авторизации с PKCE Рекомендации по безопасности, полученные в ходе производственных реализаций Жизненный цикл токена, токены обновления и обработка ошибок Когда использовать OAuth (и когда НЕ использовать) ⏱️ Временные метки: 0:00 - 0:20 - Введение 0:20 - 01:30 - Что такое OAuth 01:30 - 02:06 - До OAuth: Эра общего доступа к паролям 02:06 - 03:30 - Решение OAuth: Делегированная авторизация 03:30 - 04:16 - Типы клиентов: конфиденциальные и публичные 04:16 - 04:55 - Типы разрешений: код авторизации + PKCE 04:55 - 07:45 - Полное руководство по OAuth 07:45 - 08:50 - Защита от перехвата кода 08:50 - 10:38 - Глубокое погружение в PKCE: стратегии областей действия и разрешений 10:38 - 11:43 - стратегии областей действия и разрешений 11:43 - 12:52 - Когда использовать OAuth 12:52 - 13:44 - Контрольный список безопасности (не подлежит обсуждению) 13:44 - 14:27 - Основные выводы 14:27 - 14:40 - Далее: OpenID Connect и единый вход (SSO) 🎯 Идеально для: Веб-разработчиков, создающих интеграцию с Twitter, Google, API GitHub Разработчики мобильных приложений, реализующие вход через социальные сети Бэкенд-инженеры, обеспечивающие безопасность REST API Разработчики, готовящиеся к сертификации по безопасности Всем, кого смущает фраза «Войти через Google/Facebook» 🔗 Часть 1: Сессии, файлы cookie и JWT ➜    • API Authentication Explained (Finally) — B...   🔗 Часть 3: OpenID Connect и единый вход ➜ Скоро! ⚠️ Распространенные ошибки, которых следует избегать: ❌ Использование неявного потока (устарело) ❌ Хранение токенов в localStorage (уязвимость XSS) ❌ Пропуск PKCE для публичных клиентов ❌ Использование OAuth для аутентификации (используйте OpenID Connect) ❌ Ведение журнала токенов в рабочей среде ❌ Запрос слишком большого количества областей действия 🛡️ Основные моменты безопасности: Почему PKCE обязателен в OAuth 2.1 Защита от CSRF с помощью параметра состояния Реализация проверки кода SHA-256 Требования к точному соответствию redirect_uri 📚 Рассматриваемые технологии: OAuth 2.0 | PKCE | Поток кода авторизации | Токены доступа | Токены обновления | JWT | Безопасность API | REST API | Веб-безопасность | Безопасность мобильных приложений | React | Node.js | Токены Bearer | RFC 6749 | OAuth 2.1 🎓 Уровень навыков: Средний уровень, понимающий HTTP и базовые веб-концепции 💬 Вопросы и ответы: Что такое OAuth 2.0 и как он работает? Что такое PKCE и зачем он нужен? Как работает функция «Connect with Twitter»? В чём разница между OAuth и OpenID Connect? Как работают токены доступа и токены обновления? Когда следует использовать OAuth, ключи API или сеансы? Как безопасно внедрить OAuth в продакшн? #OAuth2 #PKCE #APIsecurity #WebDevelopment #CodingTutorial #Programming #SoftwareEngineering #WebSecurity #Authentication #Authorization #BackendDevelopment #ReactJS #NodeJS #MobileDevelopment #SecurityBestPractices #SignInWithGoogle #TechEducation #LearnToCode #DeveloperTools #RESTfulAPI