1回答
保护API的Oauth流
、、、、
我正在为多租户应用程序设计一个REST API。我想保护API。多租户应用程序可以由租户订阅,而租户又可以有多个用户使用该应用程序。 我也打算使用OAuth来做同样的事情。其中一种可能性是使用OAuth的客户端凭据流--向订阅服务的每个租户提供客户端Id和密码。 这种方法的问题是,我无法区分租户的不同用户,因为每个人都使用相同的客户端Id和密钥来获取访问令牌。另一种选择是使用<em
浏览 23提问于2021-07-24得票数 0
回答已采纳
1回答
我有一个安全的API学生API,我可以通过OAuth2.0客户端凭证流访问它,它使用IConfidentialClientApplication应用程序创建访问令牌,并访问安全的应用程序。现在开始使用OAuth 2.0资源所有者密码凭据访问受保护的API。我主要使用了microsoft页面中的代码。
我可以使用用户名和密码登录,也可以生成访问令牌。但此访问令牌无法访问我的受<em
浏览 3提问于2020-12-11得票数 0
OAuth2的逻辑用例有人会说,但我开始怀疑它是否有用。我正在寻找两条腿的身份验证,这使得客户端凭据、隐式和资源所有者密码流可用。由于我希望用户能够直接在应用程序中登录(而不是通过浏览器和重定向URI),因此隐式流作为一个选项而消失。另外两个流需要发送client_id和client_secret,我已经读过很多次,在桌面应用程序中存储client_secret是不安全的。
我的问题是:这到底有多不安全?*有多容易,我可以考虑接受风险,这样我就可以使用
浏览 0提问于2015-02-02得票数 3
我已经实现了我的SPA前端将使用的api。现在,我希望使用OAuth 2.0保护API的端点。SPA将被数以百计(可能数千)的注册和登录用户使用。我应该使用哪种OAuth 2.0授予类型流?
浏览 1提问于2018-04-30得票数 0
回答已采纳
2回答
我用Security和角2客户端做了一个关于OAuth2授权代码流的小演示。单页应用程序(或基于浏览器的应用程序)在从网页加载源代码后完全在浏览器中运行。下面是我检索令牌的角2逻辑import {IUser} from '.const options = new RequestOptions({h
浏览 4提问于2017-10-02得票数 1
2回答
我正在使用Azure AD OAuth2授权来保护我的Web。现在我需要支持两种OAuth2场景(流)-
访问同一个Web的守护进程(控制台)应用程序。虽然我能够使用客户端凭据oauth
浏览 2提问于2017-08-30得票数 4
回答已采纳
我有一个后端API,我想通过使用Azure API管理来代理它。这个后端API需要我提供一个持有者Oauth2令牌。我想使用Azure APIM为我处理Oauth2流,我想公开一个非常简单的应用程序接口,供客户端应用程序使用。我想避免我的客户端应用程序使用Oauth2。如何使用APIM处理?我发现了很多演示如何使用Oauth2保护后端应用程序接口的示例,但这不是我试图实现的
浏览 0提问于2017-05-22得票数 3
2回答
访问令牌有多安全?
、、、、
我一直在阅读有关OAuth 2.0授权代码流的文章,以保护微服务体系结构中的API,但我不明白Auth发出的访问令牌是如何保护托管在另一个服务器中的API的。这个访问令牌是否也保存在API中,当客户端尝试使用Auth Server发出的访问令牌访问它时,API检查是否包含它?如果是,这是否意味着访问令牌在身份验证过程中同时发送到客户端和受
浏览 0提问于2020-04-29得票数 1
回答已采纳
我跟踪了这个资源:
- API Permissions
浏览 27提问于2022-08-18得票数 2
回答已采纳
1回答
我正在使用OAuth2和一起来保护我的API。这在OAuth 2中有可能吗?和门卫?多么?编辑:
谢谢Zóly
浏览 3提问于2012-10-23得票数 2
回答已采纳
1回答
我目前正在尝试做一些对Linkedin API (当然还有其他API )的调用。我正在使用OAuth2和Linkedin的战略宝石。format=json").parseddef access_token :expires_at => oauth2_a
浏览 3提问于2014-08-11得票数 1
下面是我提出的体系结构:
首先,我考虑使用OAuth2.0和OpenID连接协议,其中Laravel是OAuth2.0OAuth2.0用于授权对受保护资源的访问,可以使用访问令牌(和刷新令牌),而OpenID连接是建立在Oauth2之上的身份验证协议,目的是为第三方客户端提供对基本用户数据的</e
浏览 5提问于2021-03-05得票数 1
回答已采纳
我正在使用angular-oauth2-oidc库通过PKCE授权流登录,然后将令牌传递给我的后端以保护我的自定义API。Spring后端充当oauth2资源服务器,并使用令牌保护我的自定义API。.and() .and()
.<
浏览 4提问于2020-12-21得票数 0
1回答
目前,我正在研究我的实习公司。公司使用OAuth2方法在公司的web应用服务和合作伙伴的API之间进行集成,但是它不支持知道用户是谁。此外,我发现了一个问题,公司将刷新令牌和访问令牌放在web浏览器的会话存储中。就我的研究而言,web应用程序可以使用劫持方法进行攻击。另一件事是,有些集成只使用API键进行握手。我的假设是:
会话存储上的刷新和访问令牌
浏览 3提问于2022-04-12得票数 0
我想用IBM connect设计一个微服务体系结构,其中外部客户端需要在Authorization header ( JWT 2)中传递一个持有者访问令牌,网关将把一个存储的OAuth(在authorize调用期间生成和存储)与授权用户的声明一起传递到内部API。有这样的内置配置吗?
(作为参考,WSO2提供了这个确切的行为:)
浏览 2提问于2018-03-15得票数 0
2回答
一些API将是公开的,但有些必须受到保护。此外,这可能是在不同的级别(管理和用户API)。(这在我的应用程序中很重要)。这就是我迷路的地方。我在网上做了一些研究,有很多人推荐Oauth2。尽管我认为Oaut2是用于应用程序授权的,但是基于javascript的web应用程序(隐式流)似乎有一个授权流。我希望用户登录在前端,没有社会认证或任何东西。完善自己开发的系统
浏览 0提问于2017-04-30得票数 0
回答已采纳
我正在尝试构建一个Web,该API使用oauth 2标准来使用我现有的应用程序对用户进行身份验证,Web与之通信。因此,我希望设置一个oauth 2服务器/服务,该服务器/服务使用我现有的具有用户和角色的应用程序检查用户。不幸的是,我无法获得一个好的/简单的例子,说明如何设置这样的服务。因此,我的问题是,您有示例或更好的想法来验证我的用户吗?
浏览 1提问于2014-02-18得票数 5
要使用salesforce身份保护对外部托管的web API的访问,从而可以防止未经授权的访问,那么OAUTH 2.0工作流程是什么?我最初认为用户会通过直接与身份验证端点通信来生成OAUTH访问令牌,然后将令牌传递给外部web API,以便在执行工作之前由web API对其进行验证。但是,在salesforce身份验证端点上似乎没有可供web API用来验证访问令牌的“验证访问令牌”请求。我在Sa
浏览 13提问于2021-04-29得票数 0
我正在使用Azure Graph API从Azure AD获取所有用户信息。之后,我将这些用户添加到我的应用程序中。在登录页面中,我希望他们输入他们在AD中使用的用户名和密码。我不想将他们的密码存储在我的表中,但我想做一个身份验证检查。Graph API中有没有rest服务可以做到这一点?
浏览 2提问于2016-11-17得票数 0
云服务器
ICP备案
云直播
腾讯会议
实时音视频
腾讯云开发者
