OAuth2.0/JWT身份认证与授权实战培训课程-曙海培训中心

OAuth2.0/JWT身份认证与授权实战培训课程

•  

• 培训对象： 后端开发工程师、安全工程师、微服务架构师、需要实现认证授权的全栈开发者。

•  

• 培训目标：

  • 深入理解OAuth2.0授权框架的四种授权模式。

  • 掌握JWT的结构、签名机制和安全使用规范。

  • 能够实现单点登录（SSO）和第三方登录集成。

  • 具备认证授权系统的安全防护和性能优化能力。

•  

• 培训内容介绍：

•  

  一、 认证与授权基础概念： 区分身份认证和访问授权，理解Session、Cookie、Token的技术演进和适用场景。

  二、 JWT结构与签名机制： 深入解析JWT的头部、载荷和签名三部分，掌握HS256/RS256签名算法和安全存储策略。

  三、 JWT生命周期管理： 实现Token签发、刷新、吊销机制，处理Token泄露、过期刷新和黑名单管理。

  四、 OAuth2.0授权码模式： 详解授权码模式流程，实现第三方应用授权的完整交互，适用于Web应用场景。

  五、 OAuth2.0简化模式与密码模式： 了解简化模式（隐式授权）和密码凭证模式的应用场景和安全性考量。

  六、 OAuth2.0客户端凭证模式： 实现服务间通信的机器对机器认证，适用于微服务内部调用和后台API访问。

  七、 刷新令牌与令牌管理： 设计刷新令牌机制，实现长期登录保持，处理令牌续期和并发登录控制。

  八、 单点登录（SSO）实现： 基于OAuth2.0或OIDC构建SSO系统，实现多应用间的统一登录和会话管理。

  九、 社交登录集成实战： 集成微信、GitHub、Google等第三方OAuth2.0登录，处理用户信息同步和绑定。

  十、 RBAC权限模型与授权控制： 设计基于角色的访问控制（RBAC），在API网关或应用层实现权限拦截。

  十一、 安全风险与防护策略： 防范CSRF攻击、重放攻击、令牌劫持，实施安全的Token存储和传输方案。

  十二、 实战项目：构建统一认证中心： 开发完整的认证授权服务（UAA），支持OAuth2.0各模式、JWT签发和单点登录。