1回答
我有一个位于公司网络中的.Net核心Web API,它是一个独立的服务,将被网络中的其他应用程序使用。web API非常简单,并且只有很少的端点。但是,我想限制对此Web API的访问。在我们的设计阶段,我们确定使用PKCE的授权码流将是一个理想的实现。我们的身份提供商已经登上了测试客户端id并配置了PKCE的认证码</
浏览 28提问于2021-01-26得票数 0
你好,我有一个独立的javascript应用程序,我需要用我的.net核心3.1API进行一些应用程序接口调用。保护应用程序和我的api的最佳方式是什么?在一些研究之后,我读到如果我有一个oauth 2.0服务器,对于javascript应用程序最好的授权类型是使用pkce的授权码流。对于无数的javascript应用程序,这种实现是可能的吗?谢谢
浏览 23提问于2021-02-15得票数 2
我有一个与.Net核心后端的角度应用程序。我正在尝试使用OpenIdConnect (Okta作为IDP)实现单点登录。 做到这一点的最佳方法是什么?我要使用angular-oauth2-oidc从angular应用程序进行身份验证吗?还是使用Microsoft.AspNetCore.Authentication.OpenIdConnect?我还希望确保经过身份验证或授权的用户能够从浏览器或Swagger调用Api端点。 在一个有UI和后端的应用程序中,SSO是如何工作
浏览 25提问于2020-01-14得票数 1
我有一个web应用程序,它使用OAuth2的进行身份验证。
我希望能够使用刷新令牌长时间保持我的会话活动。但是由于我不能在web应用中安全地存储client_secret,所以我不能使用传统的。使用代替client_secret是否安全,或者这样做会不会失去某种级别的安全性?
浏览 0提问于2017-08-29得票数 2
前端和后端都通过Keycloak Gatekeeper实例进行保护。现在,访问令牌在后端网守中过期。我们使用以下配置:- --client-id=CLIENT_ID- --enable-refresh-tokens- --redirection-url=REDIRECTION_URL这将在网守中创建
浏览 229提问于2019-10-22得票数 1
回答已采纳
我读到了很多关于OIDC流程的资料,并且使用PKCE的授权代码流程是适合SPA的流程,但是如果我有一个.Net 5 WebAPI后端呢?是否可以在没有PKCE的情况下对该组合使用授权代码流?如果我在PKCE中使用认证码流,什么认证对我的WebAPI是正确的?JWT令牌?
非常感谢
浏览 25提问于2021-10-16得票数 0
1回答
问题:我相信我理解PKCE对隐式流的改进,但是在使用PKCE的用户机器与应用程序接收和处理后端授权代码的授权代码流之间,安全性有什么根本的区别呢?其中包括一个具有登录表单/cookie的旧网站,一个目前使用对称JWT的SPA/PWA,以及一个使用JWT的桌面应用程序插件。也就是说,用户被重定向到他们完成的MS/Google登录,用授权代码重定向回来,我们的服务器接收授权
浏览 9提问于2022-06-12得票数 0
简单地说:我想授权终端用户在ASP.NET MVC客户端使用电子邮件和密码(它将向令牌服务器发送用户凭据以获取令牌),而且我不希望第三方客户机从我的API资源中检索数据。据我从文件中了解到:
隐式流用于SPA (js客户端),并使用id_token授权用户。我可以将id_token存储在浏览器中。客户端凭据流用于可信应用程序(如ASP.NET MVC客户端),用于授权客户端并使用access_code。我可以将access_cod
浏览 0提问于2021-02-23得票数 1
回答已采纳
1回答
我目前正在做一个项目,其中IdentityServer4被用作授权/认证服务器。我们只有一个客户端(Angular)和几个基于资源的API (ASP.NET核心)。目前,我们使用代码流(PKCE),同时引用令牌,利用IdentityServer4提供的令牌内省端点。 同时使用PKCE和引用令牌是不是有点过分了?从API中请求始终调用IdentityServer4的令牌自检端点会向接收到的每个资源请求添加另一
浏览 23提问于2020-09-28得票数 1
回答已采纳
我看过很多帖子推荐在Xamarin中使用Xamarin.Auth进行单点登录,但在查看了和GitHub入门 (其中说它支持“授权码流”,但似乎需要来自客户端的密钥才能获得验证码,这不是我正在寻找的)之后,我在网上搜索了"Xamarin.Auth隐式流“和"Xamarin.Auth授权码流”,但都没有结果,在我看来Xamarin auth只支持隐式流。这比连接到后端web服务器应用
浏览 4提问于2020-03-03得票数 0
1回答
我计划部署单独的资源服务器和授权服务器,这两个服务器都运行在django oauth工具包上。假设使用我们的API服务的客户端或应用程序位于同一个组织中,并且它们的前端将使用我们的API,那么用户将在他们一方登录,我们只需要授权那些客户机(运行应用程序的客户端)。我应该使用哪一种格兰特类型?
浏览 8提问于2022-07-25得票数 0
回答已采纳
我被赋予了实现API和公司内部使用的IDP的责任。IDP使用具有PKCE保护的OpenID连接授权码流。对于身份验证和授权至关重要的用户凭证(如电子邮件和密码)由IDP管理。IDP本身会成为API吗?这有意义吗?我是否还需要在访问令牌中为IDP创建额外的API作用域?
浏览 17提问于2021-01-05得票数 0
我已经注册了两个应用程序,它们代表一个客户端,而另一个代表azure active directory中的后端web api。现在我有了一个angular SPA,在其中我想使用MSAL angular库来支持授权码流,使用PKCE来获得认证码并兑换它,然后获得auth_token、id_token和刷新令牌。
浏览 13提问于2020-11-05得票数 0
回答已采纳
我知道PKCE2.0授权代码与OAuth流是OAuth的最佳实践。我们计划在我们的WEB应用程序中使用它。但我不明白,如果不使用浏览器进行身份验证(),如何将此流程用于原生UX我的移动应用程序在我们的情况下是不可接受的。移动应用程序有一个登录页面,用户可以在其中输入他们的сredentials,而第三方授权则没有。
是否可以在PKCE流中使用授权码,或者我是否应该在我的案例中<em
浏览 0提问于2021-04-14得票数 3
假设我设置了一个oidc idp,其中js浏览器客户端使用的重定向注册了一个应用程序,该应用程序检索访问令牌。(这不是关于如何通过pkce或其他措施提高本机应用程序安全性的问题,而是恶意应用程序是否可以攻击用户web浏览器中应该使用的隐式流的问题)。
浏览 3提问于2017-11-10得票数 1
SPA的Vue前端和asp.net core 3.1作为API的后端
SPA将<e
浏览 1提问于2020-12-13得票数 0
我一直使用PKCE来授权Api请求,直到最近使用client_credentials迁移到AD B2C和授权码时才进行更改。在postman中,我能够通过PKCE使用隐式流和授权码检索访问令牌,但它不适用于newman管道。 有没有一种方法可以在没有用户交互的情况下获得访问令牌?
浏览 20提问于2021-09-27得票数 0
当我在PKCE中使用授权代码流时,还需要state和nonce吗?对于state (防止登录-csrf),如果攻击者向我发送恶意授权响应,客户端可能接受响应,但最终无法检索令牌,因为code_verifier将与代码不匹配(因为这是攻击者生成的)。
浏览 0提问于2021-02-15得票数 6
回答已采纳
云服务器
ICP备案
对象存储
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号