authorization-code 标签归档 | 土法炼钢兴趣小组的算法知识备份

【身份与访问控制工程】企业单点登录：OIDC 与现代 SSO

2026-06-13 | architecture · security | #oidc #openid-connect #sso #authentication #authorization-code #pkce #id-token #jwks #rp-logout

OIDC 是当下企业 SSO 的事实标准，但大多数实现只用了它 20% 的规范。本文从 OIDC 核心规范出发，拆解 Authorization Code Flow + PKCE 的完整交互、ID Token 的验证规则、Discovery 与 Dynamic Registration 的互操作性机制，以及 RP-Initiated Logout 和 Session Management 的工程实现细节。

【身份与访问控制工程】OAuth 2.1 与 PKCE：现代授权主路径

2026-06-13 | architecture · security | #oauth2 #oauth21 #pkce #dpop #authorization-code #refresh-token #rar #dcr #security

OAuth 2.1 不是新协议，而是对 OAuth 2.0 的安全加固：废除 Implicit Grant 和 Resource Owner Password Grant，强制 PKCE 用于所有使用授权码模式的客户端，要求精确 redirect_uri 比对。本文从 PKCE 的密码学动机出发，拆解 OAuth 2.1 的授权码流程完整交互、Refresh Token 轮换与发送者约束、DPoP 令牌绑定，以及 DCR (Dynamic Client Registration) 和 RAR (Rich Authorization Requests) 的实际应用。