我正在寻找使用open id connect来保护我的rest api的正确方法。rest api在不同的web服务器上运行。基于angular single page的应用程序使用此library来获取访问令牌。访问令牌是“引用令牌”,而不是“jwt”。有没有什么中间件可以用来访问用户信息端点,以便从我的身份提供者那里获得所需
浏览 19提问于2019-05-02得票数 0
回答已采纳
我们有一个web应用程序,允许用户使用任何开放ID提供商(例如Okta,Google,Facebook等)登录该应用程序。我们希望实施正确的Open ID Connect规定的方法/工作流程,以保持用户登录到网站。 现有的实现查看访问令牌的过期时间,如果即将过期,则使用刷新令牌来获取新的访问令牌,以保持用户登录。当用户登录到web应用时,身份令牌
浏览 15提问于2019-04-12得票数 0
我知道openId connect可以发出一个Id令牌,客户端(依赖方)可以使用该令牌对最终用户进行身份验证。但是如何使用它来保护资源服务器不被客户端冒充呢?(我认为这个问题与非常相似)
例如,有一个SPA(android + webAPI),客户端(Android app)实现了openid connect隐式流程,并将直接使用访问令牌与资源服务器(Webapi
浏览 9提问于2017-06-12得票数 5
回答已采纳
Web API 5.2.3),它也通过OAuth 2.0承载令牌进行保护。我们使用Open-ID Connect OWIN模块在Web应用程序中使用Open-ID Connect协议。我们需要使用Graph API1.5版将租户的Azure AD目录用户和组放入应用程序商店.We使用Microsoft ADAL
浏览 2提问于2017-01-23得票数 0
1回答
需要Web访问令牌
、、、
我有一个由OWIN保护的Web API,它要求用户使用Azure Active进行身份验证。我能够使用使用Microsoft授权URL获得的访问令牌通过Postman提出请求。但是,从我的瘦客户端(也是由Azure AD保护的),如果不重定向到API,我就无法获得Web API的访问令牌。客户端应用程序(它具有与Server不同的客户端i
浏览 2提问于2018-03-13得票数 1
回答已采纳
1回答
我完全混淆了id令牌和访问令牌。我在很多文章中看到,访问令牌可以用来调用webapi,但是我们也可以使用id令牌来调用和验证webapi吗?
浏览 0提问于2018-11-27得票数 0
在azure活动目录文档中,它声明:
idToken:id_tokens are sent to the client application as part of an OpenID Connectvue应用程序(单页web应用程序)中,并尝试获取到REST的accessToken。我的目标是将前端流和后端分离开来,这样,将来有几个客户端应用程序可以通过accessTokens访问REST。我使用和BearerStrategy来验证accessToken作为中间件。首先,我想知道应该使用</em
浏览 5提问于2020-01-14得票数 1
回答已采纳
1回答
上下文:我们通常通过授权头传递令牌来保护API。但是,这些API也允许用户下载文件(例如:https://api.service.io/users.xlsx)。为了使用这些“下载端点”,我们的web客户端应用程序通过查询字符串传递用户的令牌。(如https://api.service.io/users.xlsx?问题:通过查询字符串传递令牌的存在几个安全缺陷
浏览 7提问于2018-01-17得票数 7
回答已采纳
我们有一个web应用程序,允许用户使用任何开放ID提供商(如Okta、Google、Facebook等)登录应用程序。我们希望实现正确的开放ID连接指定的方法/工作流,以保持用户登录到网站。现有的实现,查看访问令牌的到期,然后如果它接近到期,则使用刷新令牌来获取新的访问令牌,以保持用户登录。我觉得这不对。当用户登录到web应用程序时,身份令牌将使用授权代
浏览 0提问于2019-04-11得票数 0
我已经在PHP中开发了,现在我想使用OAuth 2.0来保护它。基本上,我希望为访问web服务api的用户提供基于令牌的访问。我的应用程序将使用Open (Facebook、Twitter和Google+)签名,我将从开放I获得consumer_secret和I之类的基本细节。我很少有疑问:-
1)是否需要在MySQL数据库中创建表并创建令牌并使用时间戳存储它?然后,每当任何用户调用api<
浏览 0提问于2015-02-02得票数 1
回答已采纳
此集中位置将是一个Web API,它使用Open Id Connect进行配置,并调用AAD端点以允许用户登录并接收回令牌(id和访问令牌)。这些令牌都将在此Web API中处理(即存储/过期/刷新)。
每个应用程序都将利用此API,并且在每次请求时都将调用该API,API将验证当前存储在本
浏览 16提问于2019-07-09得票数 0
我有一个JWTCore2.0 WebApi,它要求对所有请求进行身份验证,并使用如下所示的Asp.Net令牌验证:我还有两个客户端应用程序: Angular4 web应用程序和Web。有没有可能设置Web
浏览 0提问于2017-09-24得票数 0
我想用IBM connect设计一个微服务体系结构,其中外部客户端需要在Authorization header ( JWT 2)中传递一个持有者访问令牌,网关将把一个存储的OAuth(在authorize调用期间生成和存储)与授权用户的声明一起传递到内部API。
浏览 2提问于2018-03-15得票数 0
我使用创建了一个.net核心API,通过向我的API发布凭据并将一个JWT返回到一个简单的客户端应用程序(普通HTML/TypeScript)来对用户进行身份验证和授权。请求包含用户名和密码。令牌和访问令牌。我能够用授权属性保护控制器端点。客户端应用程序使用授权头和比勒{令牌}。
在我的Startup.cs中,我能够AddAuthentication并验证ID令牌的签名、发布者、观众和生命
浏览 4提问于2020-04-01得票数 7
回答已采纳
我想针对Azure AD B2C保护Java Rest API。我知道调用者使用Authorization标头调用服务,该标头的值如下: Bearer xxx-token服务应该采取哪些步骤来确保这是一个有效的令牌?使用MSAL4J的Java代码将非常受欢迎。
浏览 19提问于2020-02-15得票数 2
我正在使用ASOS ( Asp.net.OpenIDConnect.Server)并使用持有者身份验证。 我需要检查令牌过期时间并更新它。 无法解码访问令牌。可以请任何人分享完成它的方法。
浏览 11提问于2019-05-29得票数 0
我正在尝试让身份服务器的Asp.Net标识示例在我的Web项目中工作,作为初学者,我正在尝试使用承载令牌获取令牌并向Api发送请求。因此,使用fiddler,我可以向https://localhost:44333/core/connect/token发送一个包含以下内容的请求:client_id=roclient&client_secret=secret&grant_type=passw
浏览 3提问于2015-10-02得票数 0
回答已采纳
1回答
我们有一个ASP.NET核心Web,我想用来保护它。图形标记是有效的,我可以进行图形调用,它可以很好地工作。但是,如果我尝试访问使用JWT身份验证配置的ASP.NET Core,则会出现以下错误。ValidateAudience = false // This is for testing });
同样的配置也适用于Azure AD访问令牌
浏览 1提问于2019-04-02得票数 3
回答已采纳
我是Identity Server的新手,对身份和访问令牌这一主题感到困惑。我知道访问令牌是用来保护资源(即web api)的,而身份令牌是用来进行身份验证的。然而,每当我调用/connect/token时,我总是收到一个"access_token“。在请求中,我请求一个具有各种作用域和声明的客户端。{
ClientId = "Tetri
浏览 0提问于2017-02-09得票数 1
回答已采纳
云服务器
ICP备案
云直播
实时音视频
即时通信 IM
腾讯云开发者
