令牌已过期或已吊销。使用gmail api时出错 - 腾讯云开发者社区

文章/答案/技术大牛

发布

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

当“您的密码将在24小时内过期”这类消息出现在国内员工的钉钉邮箱或腾讯企业邮中，我们是否已筑起足够坚固的防线？一、“看起来太真了”：钓鱼邮件如何获得“内部通行证”？...过去，钓鱼邮件常因语法错误、奇怪域名或夸张语气被一眼识破。但如今的攻击者，已学会“穿上西装打领带”。...一旦同意，攻击者即获得访问用户邮箱、日历、联系人的API权限，且该令牌长期有效，难以察觉。...建立快速响应机制一键冻结账户：SOC接到报告后5分钟内禁用账号；会话吊销：通过Microsoft Graph API或Google Admin SDK，立即终止所有活跃会话；# Microsoft Graph...PowerShell 示例：吊销用户所有刷新令牌Revoke-AzureADUserAllRefreshToken -ObjectId "user@company.com"6.

2541 0

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

本文的主要贡献在于：首先，从技术底层解构了基于Google云服务滥用的钓鱼攻击链路，明确了攻击者如何利用API、Webhooks及通知服务绕过传统防御；其次，分析了当前企业在使用云协作平台时在IAM（身份与访问管理...或者，利用Cloud Functions监听特定的GitHub仓库提交或外部Webhook，一旦触发条件满足，立即调用Gmail API发送钓鱼邮件。...令牌生命周期管理空白：一旦授权，刷新令牌通常长期有效，除非用户主动撤销或管理员强制吊销。攻击者可以利用这一机制长期潜伏，即使修改了用户密码，只要令牌未失效，访问权依然存在。...定期审计与清理：建立季度或月度的应用审计机制，检查已授权应用的使用情况。对于长期未使用、开发者不明或权限过大的应用，及时撤销授权。...令牌生命周期管理：实施严格的令牌轮换策略。对于敏感应用，缩短刷新令牌的有效期，或在检测到异常活动时强制吊销所有相关令牌。

1211 0

您找到你想要的搜索结果了吗？

是的

没有找到

云邮箱钓鱼攻击趋势与企业防御体系重构

此类攻击尤其针对财务、HR等高频使用审批系统的部门。2.3 身份层突破：从凭证窃取到会话劫持传统钓鱼目标为用户名与密码，但在MFA普及背景下，攻击者转向更高效的会话令牌窃取。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...例如，当登录IP来自非常用地理区域或设备未合规时，强制执行多重验证或阻断访问。...关键措施包括：自动化会话吊销：通过API批量注销用户所有活动会话；凭据紧急重置：强制更改密码并撤销刷新令牌；行为回溯：利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https

2241 0

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

其中，刷新令牌有效期极长（通常无明确过期时间，除非用户显式撤销或长时间未使用），且可用于无限次获取新的访问令牌，即使用户更改了账户密码。...攻击者控制员工邮箱后，可：伪造来自高管或IT部门的邮件，诱导同事点击恶意链接；利用日历邀请功能嵌入钓鱼URL；通过API访问共享云端硬盘（Drive）中的敏感文档；将受害账户作为可信发件人，绕过企业邮件网关的...当前缺乏对令牌使用上下文（如IP、设备指纹）的动态风险评估，导致令牌一旦泄露即等同于账户失陷。...例如，当出现以下情况时触发再认证：登录地理位置与历史模式偏差过大；使用从未见过的设备类型或操作系统；短时间内多地登录。...5 组织响应策略的优先级划分面对“数据泄露”类事件，组织需冷静区分两类情形：真实后端泄露：如Google数据库被拖库，需立即强制全量密码重置、吊销所有会话与令牌，并启动事件响应流程。

3831 0

开源KMS之vault part1

当 Vault API 端点暴露于部署在全球基础设施中的数千或数百万个服务时，这种风险会显着增加，尤其是为内部开发人员的服务而部署的 Vault 服务。...Vault 允许操作员创建速率限制配额，使用令牌桶算法强制执行 API 速率限制。创建配额时可以指定路径，可以在根级别、命名空间级别或挂载点上定义速率限制配额。...即使数据旨在永久有效，也需要租约以强制使用者定期续约。除了续约，租约也可以吊销。当租约被吊销时，它会立即使该机密无效并阻止任何新的的续订。...吊销可以通过 API 手动进行，也可以通过执行 vault lease revoke 命令进行，也可以由 Vault 自动进行。当租约到期时，Vault 会自动吊销该租约。...当令牌被吊销时，Vault 将吊销使用该令牌创建的所有租约。需要注意的是，Key/Value 机密引擎是不关联租约的，虽然它有时也会返回一个租约期限。

9701 0

使用CredSniper窃取红队行动中的2FA令牌

多年来，出现了多种获取2FA令牌的攻击方式，如伪造手机GSM信号、暴力破解令牌，或寻找禁用多因素认证的遗留门户。近期，攻击者开始通过社会工程诱骗受害者通过短信发送令牌。...CredSniper正是在红队行动中应运而生的工具，能够高效获取凭证和2FA令牌，甚至适用于技术资深的高级员工。CredSniper简介钓鱼攻击已存在多年，多数组织已开始在日常培训中提高员工安全意识。...CredSniper的核心思想是：在后台与真实门户交互时同步获取目标输入的2FA短信令牌。模板采用Jinja2语言，支持动态插入用户数据（如{{ username }}）。...api_token=API令牌>标记凭证为已读（GET）：https:///creds/seen/?...api_token=API令牌>更新配置（POST）：https:///configundefined请求体示例：{ "enable_2fa": true, "module": "gmail

2421 0

Axios 实现登录拦截功能：完整代码、逻辑解析和性能优化建议

如果用户已登录，则可以在请求头中添加令牌等信息。否则，我们可以在这里跳转到登录页面或者提示用户需要先登录才能访问该页面。最后，该函数需要返回请求配置(config)对象。 3....，则将令牌添加到请求头中 config.headers.Authorization = Bearer ${ token }; } else { // 如果令牌已过期...接着，我们判断令牌是否已过期，如果未过期，则将令牌添加到请求头中。否则，我们提示用户需要重新登录，然后重定向到登录页面。...同时，如果要移除的拦截器不存在，eject方法会忽略该请求，不会抛出错误。...合并请求：当需要同时发送多个请求时，可以将它们合并为一个请求，以减少网络开销，提高性能。使用并发请求：当需要同时发送多个请求时，可以使用并发请求，以减少请求时间，提高性能。

1.6K1 0

网页服务器HTTP响应状态-HTTP状态码

502-Web 服务器用作网关或代理服务器时收到了无效响应。 502.1-CGI 应用程序超时。 502.2-CGI 应用程序出错。application. 503-服务不可用。...ASP 语法出错、ACCESS 数据库连接语句出错、文件引用，与包含路径出错、使用了服务器不支持的组件如 FSO 等如何识别这个错误是由什么原因引起的呢？...403.13-客户端证书被吊销。 403.14-拒绝目录列表。 403.15-超出客户端访问许可。 403.16-客户端证书不受信任或无效。 403.17-客户端证书已过期或尚未生效。...201-已创建。 202-已接受。 203-非权威性信息。 204-无内容。 205-重置内容。 206-部分内容。 3xx-重定向，客户端浏览器必须采取更多操作来实现请求。...浏览器可能不得不请求服务器上的不同的页面，或通过代理服务器重复该请求。 301-对象已永久移走，即永久重定向。 302-对象已临时移动。 304-未修改。 307-临时重定向。

7.5K2 0

Https证书SSL证书异常导致访问失败该如何解决？

我们在使用SSL证书时，经常会碰到一些常见的SSL证书错误，例如浏览器提示证书无效，证书在地址栏中被红色警告等等。下面是关于SSL证书错误的几种原因及解决方法。...1.报错：NET::ERR_CERT_DATE_INVALID原因：SSL证书已过期解决方案：证书已过期并删除，重新申请新证书并正确安装可以解决错误。...3.报错：NET::ERR_CERT_AUTHORITY_INVALID原因：网站使用无效证书颁发机构颁发的证书解决方案：该错误表明网站使用的证书的根证书不受浏览器的信任，可能是用户使用自签名证书，也可能是该证书的根证书被吊销...图片4.报错：NET::ERR_CERT_REVOKED原因：网站使用的证书已被吊销解决方案：证书颁发机构因企业信息变更或网站内容违规等原因吊销证书，证书进入证书吊销清单CRL。...7.报错：ERR_SSL_VERSION_OR_CIPHER_MISMATCH原因：网站使用浏览器不支持的加密协议版本或加密套件解决方案：错误报告在低版本的操作系统或浏览器中更为常见。

7.8K6 0

OAuth 2.0初学者指南

b）公共：客户端无法维护其凭据的机密性（例如，已安装的本机应用程序或基于Web浏览器的应用程序），并且无法通过任何其他方式进行安全的客户端身份验证。...当FunApp请求用户的受保护资源时，它将成为客户端。当Facebook获得用户同意并向FunApp发出访问令牌时，它将成为授权服务器。...授权代码流不会将访问令牌公开给资源所有者的浏览器。相反，使用通过浏览器传递的中间“授权代码”来完成授权。在对受保护的API进行调用之前，必须将此代码交换为访问令牌。...客户端交换其客户端凭据以获取访问令牌。 7.令牌已过期，获取新的访问令牌：如果访问令牌由于令牌已过期或已被撤销而不再有效，则使用OAuth 2.0访问令牌进行API调用可能会遇到错误。...客户端可以使用刷新令牌（在授权代码交换访问令牌时获得）获取新的访问令牌。 8.结论：这是尝试提供OAuth 2.0过程的概述，并提供获取访问令牌的方法。我希望它有所帮助。享受整合应用的乐趣！

3.6K3 0

实现“永久登录”：针对蜻蜓Q系统的用户体验优化方案（前端uni-app+后端Laravel详解）-优雅草卓伊凡

令牌轮转与回收：每次使用 Refresh Token 或 Remember Me Token 换取新的 Access Token 时，使旧的令牌失效并颁发新令牌。...这可以检测到令牌是否被盗（如果旧的令牌被再次使用，则说明有风险，立即吊销该用户的所有令牌）。流程：首次登录：用户输入账号密码，并选择“记住我”。...有则正常使用。如果没有（已过期），则尝试使用 Refresh Token 刷新。如果 Refresh Token 也过期了，则检查是否存在有效的 Remember Me Token。...三、后端开发（PHP + Laravel）要做的内容我们假设使用 Laravel Sanctum（API 令牌认证）或 Laravel Passport（OAuth2 服务器）来实现。...App 初始化（App.vue 或 main.js）在应用启动时，检查是否存在令牌，并尝试获取用户信息，以验证令牌是否有效。

4081 0

网站服务器错误代码介绍

客户端在收到常规响应之前，应准备接收一个或多个1xx响应）： 100–继续 101–切换协议成功（这类状态代码表明服务器成功地接受了客户端请求）： 200–确定（客户端请求已成功） 201–已创建...例如，浏览器可能不得不请求服务器上的不同的页面，或通过代理服务器重复该请求）： 301–对象已永久移走，即永久重定向。 302–对象已临时移动。 304–未修改。 307–临时重定向。...403.14–拒绝目录列表 403.15–超出客户端访问许可 403.16–客户端证书不受信任或无效 403.17–客户端证书已过期或尚未生效 403.18–在当前的应用程序池中不能执行所请求的...这个错误代码为IIS6.0所专用 500.100–内部ASP错误 501–页眉值指定了未实现的配置 502–Web服务器用作网关或代理服务器时收到了无效响应 502.1–CGI应用程序超时 502.2...–CGI应用程序出错 application 503–服务不可用。

4.1K4 0

从0开始构建一个Oauth2Server服务资源服务器

如果您使用的是JWT,那么验证令牌可以完全在资源服务器中完成，而无需与数据库或外部服务器交互。如果您的令牌存储在数据库中，那么验证令牌只是在令牌表上进行数据库查找。...另一种选择是使用Token Introspection规范来构建 API 来验证访问令牌。...这是处理跨大量资源服务器验证访问令牌的好方法，因为这意味着您可以将访问令牌的所有逻辑封装在单个服务器中，通过 API 将信息公开给系统的其他部分。...过期令牌如果您的服务使用短期访问令牌和长期刷新令牌，那么您需要确保在应用程序使用过期令牌发出请求时返回正确的错误响应。...invalid_token(HTTP 401) – 访问令牌已过期、撤销、格式错误或由于其他原因无效。客户端可以获取新的访问令牌并重试。

1.4K3 0

OAuth 详解什么是 OAuth?

基本身份验证仍然用作服务器端应用程序 API 身份验证的原始形式：用户发送 API 密钥 ID 和密码，而不是在每次请求时向服务器发送用户名和密码。...您正在做的是使用刷新令牌获取新的访问令牌，并且访问令牌通过网络访问所有 API 资源。每次刷新访问令牌时，您都会获得一个新的加密签名令牌。密钥轮换内置于系统中。 OAuth 规范没有定义令牌是什么。...您可以被动或主动使用令牌。主动是在你的客户中有一个计时器。反应式是捕获错误并尝试获取新令牌。...这是一个反向通道，仅用于使用客户端的凭据获取访问令牌。它支持共享秘密或断言作为使用对称或非对称密钥签名的客户端凭证。对称密钥算法是一种加密算法，只要您有密码，就可以解密任何内容。...当您有一个只想使用 OAuth 的 API，但您有老派的客户要处理时。 OAuth 最近添加的是Assertion Flow，它类似于客户端凭证流。添加此内容是为了打开联邦的想法。

7.2K2 0

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

介绍刷新令牌允许用户无需重新进行身份验证即可获取新的访问令牌，从而确保更加无缝的身份验证体验。这是通过使用长期刷新令牌来获取新的访问令牌来完成的，即使原始访问令牌已过期也是如此。...访问令牌用于访问受保护的资源，例如 API，而刷新令牌用于在当前访问令牌过期时获取新的访问令牌。当 JWT 用作访问令牌时，它通常使用用户的声明和令牌的过期时间进行编码。...客户端将令牌存储在本地存储中或作为仅 HTTP 的安全 cookie。客户端在每个访问受保护资源的请求中发送访问令牌。当访问令牌过期时，客户端将刷新令牌发送到认证服务器以获取新的访问令牌。...如果访问令牌已过期，脚本将使用刷新令牌来获取新的访问令牌，然后重试原始请求。...还需要注意的是，此示例不适合生产，因为它仅将令牌标记为已撤销，并且不处理令牌黑名单。在生产环境中，建议使用Redis等分布式机制来处理黑名单。

2.8K3 0

JWT双令牌认证实现无感Token自动续约

JWT 可以使用机密(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。虽然可以对 JWT 进行加密，以便在各方之间提供保密性，但是我们将关注已签名的Token。...当使用公钥/私钥对对令牌进行签名时，该签名还证明只有持有私钥的一方才是对其进行签名的一方( 签名技术是保证传输的信息不可抵赖,并不能保证信息传输的安全 ) 官网地址：https://jwt.io JWT...应用需要携带 Access Token 访问资源 API，资源服务 API 会通过拦截器查验 Access Token 中的 scope 字段是否包含特定的权限项目，从而决定是否返回资源。...0, "msg": "令牌会话已过期，请再次登录！"..., "data": {} } 现在access_token是2小时已过期了，2小时之后就需要重新登录了。也就是前端需要跳转到登录页面。

2.4K2 0

开发中需要知道的相关知识点:什么是 OAuth?

2.6K4 0

如何在Java中使用JWT进行身份验证

对于Java开发人员，使用JWT进行身份验证是一项非常重要的技能。JSON Web Token（JWT）是一种跨域身份验证机制，可确保只有经过授权的用户才能访问您的Web应用程序或API。...JWT 您可以通过从HTTP请求标头中提取令牌，并检查它是否已签名和未过期来验证JWT。...SignatureException | MalformedJwtException | UnsupportedJwtException ex) { // handle exception } 请注意，如果令牌已过期...4、配置JWT过滤器您还可以使用JWT过滤器来在每个请求中验证令牌。这将为您提供可重用的代码，并使代码更易于维护。...HTTP标头中提取，并验证是否已签名和未过期。

2.3K1 0

Spring Cloud微服务网关统一鉴权实战：Gateway过滤器JWT令牌校验详解

理解过滤器链的执行流程是正确使用Gateway的关键。过滤器链的构建过程始于请求到达网关时。...验证流程包含三个关键步骤：格式验证：检查令牌是否符合三段式结构签名验证：使用预共享密钥或公钥重新计算签名，与令牌中的签名比对声明验证：检查过期时间、签发者等关键声明的有效性签名机制的本质是确保令牌在传输过程中未被篡改...根本原因在于：令牌过期时间设置过长（7天）缺乏令牌吊销机制未验证aud声明，令牌可在非目标服务使用 2025年3月，某金融机构因JWT密钥管理不当导致的安全漏洞，造成直接经济损失约200万元。...HTTPS传输：确保所有通信通道加密，防止令牌被截获安全的日志记录：避免在日志中记录完整的JWT令牌内容实现令牌黑名单：支持主动吊销令牌，应对安全事件通过以上完整的实现，我们在Spring Cloud...根据OAuth 2.1标准，访问令牌通常设置15-30分钟的过期时间，刷新令牌则为7-30天。当访问令牌过期时，客户端可以使用刷新令牌获取新的访问令牌，无需用户重新登录。

5711 0

幂等性之预置令牌

客户端发起正式业务请求时携带该令牌客户端在真正发起业务请求（如创建订单）时，在 HTTP Header 或请求体中携带刚才申请的幂等令牌。...你可以为每个 token 维护一个状态，比如：未处理（待处理）处理中（可选，防止并发时重复进入业务逻辑）已处理（记录处理结果）（2）如果 token 不存在或已过期表示这是一个新的请求，允许继续执行业务逻辑...四、最佳实践建议1.Token 生成使用 UUID v4 或具有高随机性的字符串，确保全局唯一。可加入业务前缀，如 order_create_abc123，便于管理和排查。...可在申请 token 时由客户端指定，或服务端统一配置。3.幂等存储要设置过期（TTL）推荐使用 Redis 的 EXPIRE 或带 TTL 的数据结构，自动清理旧数据。...5.返回值一致性当幂等请求命中已处理记录时，应原样返回之前处理的响应内容，保持用户体验一致。6.安全性幂等 key 应仅对当前用户/业务有效，防止被恶意伪造。

3131 0

点击加载更多

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

云邮箱钓鱼攻击趋势与企业防御体系重构

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

开源KMS之vault part1

使用CredSniper窃取红队行动中的2FA令牌

Axios 实现登录拦截功能：完整代码、逻辑解析和性能优化建议

网页服务器HTTP响应状态-HTTP状态码

Https证书SSL证书异常导致访问失败该如何解决？

OAuth 2.0初学者指南

实现“永久登录”：针对蜻蜓Q系统的用户体验优化方案（前端uni-app+后端Laravel详解）-优雅草卓伊凡

网站服务器错误代码介绍

从0开始构建一个Oauth2Server服务资源服务器

OAuth 详解什么是 OAuth?

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

JWT双令牌认证实现无感Token自动续约

开发中需要知道的相关知识点:什么是 OAuth?

如何在Java中使用JWT进行身份验证

Spring Cloud微服务网关统一鉴权实战：Gateway过滤器JWT令牌校验详解

幂等性之预置令牌

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐