23、API 安全访问综合指南

API 安全访问综合指南

1. OAuth 2.0 与 OpenID Connect 概述

OAuth 2.0 规范于 2012 年发布，多年来积累了许多经验。2019 年开始着手制定 OAuth 2.1，旨在整合 OAuth 2.0 的最佳实践和经验，草案版本可参考 此处 。OAuth 2.1 的重要改进如下：
- PKCE 集成 ：PKCE 被集成到授权码授权流程中。公共客户端为提高安全性必须使用 PKCE，而对于授权服务器可验证其凭证的机密客户端，使用 PKCE 仅为推荐。
- 废弃隐式授权流程 ：由于隐式授权流程安全性较低，因此在规范中被弃用并省略。
- 废弃资源所有者密码凭证授权流程 ：出于同样的安全原因，该授权流程也被弃用并省略。

OpenID Connect（OIDC）是 OAuth 2.0 的扩展，可让客户端应用验证用户身份。完成授权流程后，客户端应用会从授权服务器获取额外的 ID 令牌，该令牌以 JSON Web Token（JWT）编码，包含用户的 ID 和电子邮件地址等声明，并使用 JSON 网络签名进行数字签名。客户端应用可通过授权服务器的公钥验证其数字签名，从而信任 ID 令牌中的信息。

2. 系统景观安全保障步骤

为保障系统景观的安全，需执行以下步骤：
1. 使用 HTTPS 加密外部通信 </