OAuth 2.0 是一个行业标准的授权框架，允许应用程序安全地访问用户在其他服务上的资源，而无需获取用户的密码。Authorization Code Flow（授权码流程）是 OAuth 2.0 中最常用的一种授权模式，特别适合于那些可以安全存储客户端密钥的服务器端应用程序。这种流程设计之初，就考虑到了为了提高安全性，需要通过服务器端组...

在传统的客户端-服务器身份验证模型中，客户端通过使用资源所有者的凭据向服务器进行身份验证来请求服务器上的访问受限资源（受保护资源）。 为了向第三方应用程序提供对受限资源的访问，资源所有者与第三方共享其凭证。这产生了若干问题和限制。

问题：我有一个与 YouTube Live Streaming API 集成的程序。我以每 50 分钟的时间间隔，使用刷新令牌(refresh token)获取一个新的访问令牌(Access Token)。 我的问题是，为什么 OAuth 要设计双重 token？

oauth2 core extension 已经取代了 webservicescommons/oauthauthorizationserver 扩展。 它将 HTTP 端点公开为 Authorization 服务器。 它没有引入任何新的重要功能。

这是Jerry 2020年的第87篇文章，也是汪子熙公众号总共第269篇原创文章。本系列的英文版Jerry写作于2017年，这个教程总共包含十篇文章，发表在SAP社区上。系列目录(1) 微信开发环境的搭建(2) 如何通过微信公众号消费API(3) 微信用户关注公众号之后，自动在SAP C4C系统创建客户主数据(4) 如何将SAP C4C主数据变化推送给微...

试图使用postman访问SAP Data Intelligence graph API时，遇到401 unauthorized的错误：no authentication means found

今天工作中试图调用Commerce Cloud的user creation API用代码创建Hybris用户时，遇到下面这个错误消息。 我觉得很奇怪，因为backoffice里能查到这个id为jerryclient的oauth client，可错误信息为啥说找不到？ 仔细查看，发现我给这个client分配的权限角色如下：ROLE_CUSTOMERSUPPORTAGENTGROUP和ROLE_CUSTOMERGROUP： 根...

最近工作中需要使用到oauth，注意到oauth客户端的grant_type值可以指定为client_credentials和password两种，很好奇所以网上搜索了一下，发现stackoverflow上一个帖子：[链接]

前提条件是您得先有一个新浪微博帐号。 打开网页[链接] 点击新手引导->开发者页面： 会自动跳转到页面：[链接]点击按钮”创建应用“： 选择创建的应用类型： 维护该新浪微博应用的相关信息： 创建成功后，得到应用的url：[链接] 可以得到应用的application key： 以及application secret： 为了消费新浪微博API，需要获...