哪种Oauth2授权类型适用于服务器到服务器集成
对于服务器到服务器集成,适用的Oauth2授权类型是"Client Credentials"授权类型。
"Client Credentials"授权类型允许一个应用程序以自己的身份(而不是用户的身份)访问另一个应用程序的受保护资源。在这种授权类型中,客户端应用程序通过提供自己的客户端ID和客户端密钥进行身份验证。该授权类型适用于不涉及用户参与的场景,例如应用程序之间的服务器通信、后台任务的执行等。
这种授权类型的优势是:
- 简单高效:客户端应用程序使用自己的身份进行身份验证,无需用户的参与,因此流程简单高效。
- 安全性较高:通过客户端ID和客户端密钥进行身份验证,确保通信双方的身份可信。
- 可扩展性强:该授权类型可适用于各种服务器到服务器的集成场景,适用于大多数后台任务的执行。
在腾讯云的产品中,可使用API网关和访问管理(CAM)来实现服务器到服务器的安全集成。API网关提供了访问控制、安全认证等功能,而CAM则可用于管理和分配访问权限。
腾讯云API网关产品介绍:https://cloud.tencent.com/product/apigateway 腾讯云访问管理(CAM)产品介绍:https://cloud.tencent.com/product/cam
相关·内容
1回答
我正在为基于微服务的应用程序在Node中开发一个身份验证/授权系统。
我阅读了一些关于OAuth2标准的文章和文档,但我需要对我的用例进行一些澄清。基本上,OAuth2有一些演员,比如:
资源所有者(用户)客户端应用程序(在一些OAuth2授权流中的web应用程序,如授权代码、隐式、服务器(我想访问的服务))
因此,在我的数据库中,我用它的client_id和client_secret存储一个客户机(web应用程序)。
假设我的一个微服务需要访问来自另一个微服务的数据。他们俩都休息一下,阿皮。没有与用户的交互,一切都是在后台完成的。在这种情况下,我将使用客户端凭据流。遵循OAuth2规则,它们
浏览 2提问于2019-11-07得票数 0
1回答
我正在尝试将Oauth2服务器库实现到我的fuelphp中。我一直在跟踪这个和。
我理解并能够完成第二个教程,但这并不涉及将OAuth集成到Fuelphp中。
我想知道的是,如何将OAuth2集成到我的api中,我只想复制一个登录?还有其他关于如何做到这一点的教程吗?
在fuelphp目录中的哪个位置放置服务器/令牌/授权代码?
非常感谢
浏览 2提问于2015-08-03得票数 0
回答已采纳
假设目标是通过访问令牌授权对资源服务器(RS) resource.com/resource的访问,但使用OpenId连接进行身份验证,而不是依赖于OAuth2中提供的授权服务器的自定义身份验证集成。
我不清楚它们是如何互操作的,特别是id令牌是如何提供给后续的OAuth2流的。
1. 1.OpenId被实现为一个“授权访问用户配置文件/身份”的OAuth2,但是它使用了什么流呢?此时,请求者(用户代理或客户端应用程序)将id令牌和访问令牌获取到userInfo。
2.但是现在,获得了身份,需要到终端服务(资源服务器RS)的授权/访问令牌。在实现资源服务器访问令牌的最终目标之前,下一步是什么?
浏览 0提问于2017-11-16得票数 2
为什么在使用oauth协议时需要从客户端应用程序传递授予类型?
有时,当我使用错误的授予类型时,它会说不正确的授予类型,所以如果我只能传递支持的值,那么传递这个值是多余的。服务器可以简单地选择受支持的服务器。客户端应用程序不应该传递它。
如果有多个授予类型可供客户端应用程序传递,那么客户端不能简单地传递限制最小的授予类型吗?为什么客户应该关心什么是最合适的赠与类型。客户是否必须遵守某些标准或法律问题?
浏览 3提问于2021-07-05得票数 2
回答已采纳
我们的应用程序已经是一个委派到多个授权服务器的客户端。重点是我们有用户帐户,但我们没有存储任何凭据。我们的用户来自Facebook / Google /等,他们的本地帐户是自动创建的。
现在,随着此应用程序的发展,其他应用程序希望与我们的应用程序接口集成,因此我们希望提供自己的OAuth2端点。我们正在实现一个成熟的OAuth2服务器,将部分委托给Facebook/Google/诸如此类的,否则就像一个普通的服务器一样工作(发出我们自己的访问令牌,刷新令牌,等等)。这是预期中要做的事情吗?标准中是否有特定于此用例的内容?
浏览 0提问于2013-01-18得票数 0
回答已采纳
1回答
我有一个spring boot应用程序,需要将OAuth2集成到其中。这意味着同时运行资源和授权服务器。目前,我正在使用Java config,并且有一个客户UserDetails对象和服务,以及一个相对标准的WebSecurityConfigurerAdapter。我希望允许当前用户长时间使用OAuth2。不幸的是,我需要这样做,但不能让它工作。谢谢
浏览 12提问于2016-09-12得票数 0
首先,谢谢你抽出时间。我非常担心的OAuth2 API。
接下来,我将使用DotNetOpenAuth来实现/集成联邦身份和访问管理系统的LiveId身份验证/授权。
很长一段时间以来,一切都很好。但是现在我在修复LiveId登录模块的重播攻击问题时遇到了严重的麻烦。让我们看一看上面文章中的授权代码授予流。
"*4.用户代理使用重定向URI调用客户端,该URI包括授权代码和客户端提供的任何本地状态。例如:...Callback.htm?code=AUTHORIZATION_CODE. 5。客户端通过使用其客户端凭据进行身份验证,从授权服务器的令牌端点请求访问令牌,并包括在上一步中接收
浏览 7提问于2013-06-17得票数 1
回答已采纳
2回答
我正在使用Okta的API将Okta集成到我自己的IdP服务器。
我正在通过以下步骤实现授权代码流:
在我自己的服务器中,使用/api/v1/authn端点获取sessionToken。
使用sessionToken通过调用以下端点获得授权:/oauth2/v1/authorize?client_id=" + clientId + "&sessionToken=" + sessionToken + "&response_type=code&response_mode=query&scope=openid&redir
浏览 4提问于2017-04-06得票数 1
我想了解grant_type=client_credentials和grant_type=password在Authentication或OAuth2 Flow概念上的区别。
以下是我所关注的地点:
我认为grant_type=password是not secure在JavaScript开发中使用grant_type的方式。但我仍然在想,是否有人能帮助我理解这个概念。
我还注意到,grant_type=client_credentials没有提供"refresh_token",它只提供access_token,因为grant_type=password提供了
浏览 0提问于2016-01-17得票数 21
回答已采纳
2回答
计划是在AngularJS应用程序中支持OAuth2工作流。ADAL支持“隐式授权流”旧版本(在Windows2012 R2中可用)中的ADFS仅支持“授权授权流”
我们的计划是从设置实验室环境开始。有人建议我们,Windows2012 R2对OAuth2的支持是有限的;因此,我们应该使用Windows2016和ADFS4.0设置环境。
因此,在我们开始一个涉及AD、ADFS、IIS、AngularJS应用程序(这绝对不是微不足道的)的设置之前,我想确认一下ADFS是否可以在Windows2016服务器上运行。我们计划使用ADAL.JS来支持OAuth2支持-隐式授权工作流?
浏览 6提问于2018-03-13得票数 0
这里我感兴趣的具体用例是根据公共可用的服务器端点(例如公共REST )验证REST客户端。
这里最简单的解决办法是基本的八月。但是我经常听到OAuth2在几乎所有的情况下都被吹捧为一个优越的解决方案。
问题是,对REST服务器进行身份验证的REST客户端唯一可行的OAuth2授予类型是资源所有者密码凭据(ROPC),因为Code和隐式Grants要求用户登录并手动授权客户端应用程序(由authorize托管)一个UI/网页。
ROPC的工作方式是发送资源所有者的用户名/密码,并将客户机ID作为查询字符串params?!?这甚至更不安全(IMHO),然后是Basic Auth,它至少对凭证进行编
浏览 0提问于2015-09-16得票数 26
回答已采纳
我正在构建一个完整的堆栈应用程序。前端将是SPA,后端部分将是跨几个资源服务器的状态restful。此外,我希望将身份验证和授权分离为一种微服务,并考虑使用OAuth2作为协议。
目标流将像SPA用户向auth服务提交ID/密码一样,OAuth2服务器将使用访问令牌进行响应。在随后的资源请求中,SPA将与访问令牌一起提交到资源服务器,然后资源服务器将要求auth服务器验证令牌。
我的问题是,OAuth2是否符合上述场景,如果是这样的话,我应该使用哪种OAuth2授予类型/流?
浏览 2提问于2017-03-02得票数 0
回答已采纳
4回答
我正在读一篇关于OAuth2,的文章。让我困惑的是授权类型。上面写着
授权码:与服务器端应用程序一起使用隐式:与移动应用程序或Web应用程序(在用户设备上运行的应用程序)一起使用
那么,服务器端应用程序和web应用程序之间的区别是什么,它们不是一样的吗?谁能给我举个例子,什么时候使用这两种资助类型?谢谢。
浏览 1提问于2017-10-26得票数 1
因此,使用基本身份验证,我可以看到简单地使用UserDetailsService实现的价值,它基本上只是加载用户并确认它们是经过身份验证的。
然而,我现在想使用oAuth2,并且不确定我在这个问题上的想法是否完全错误。使用oAuth2不会消除对UserDetailsService实现的需求吗?因为从本质上来说,授权服务器是负责检查用户是否存在的(使用Resource密码流),然后向用户发送一个JWT。
一旦用户拥有了这个访问令牌并可以与每个请求一起发送它,就必须有另一种方法将用户身份验证到AuthenticationManager中,而不是重复工作和检查,以确保UserDetailsServi
浏览 0提问于2017-05-26得票数 1
回答已采纳
2回答
我在我的GWT应用程序中实现了一个OAuth2身份验证机制。OAuth2服务器基于SpringFramework3.x(使用其Spring安全OAuth2实现)。
我正在使用OAuth2“授权代码流”来对用户进行身份验证(尽管在我们的例子中,隐式流可能是一个更好的选择)。因此,首先,用户被重定向到OAuth2服务器身份验证页面,输入他的凭据,如果他成功通过身份验证,他将被重定向回一个带有oauth代码的url。然后,他将进行第二个调用,从OAuth2服务器获得一个访问令牌。
现在,问题是,我们希望用户能够在应用程序中对页面进行书签,并且可以直接访问它的。如果他已经通过认证,那么他将可以直接访问
浏览 4提问于2013-09-03得票数 1
回答已采纳
我是一个天真的OAuth2用户,试图保护Rest服务。我们有一个环境,在那里我们自己开发了客户端和服务器。客户端部署在Nginx服务器上,使用HTML、CSS和Javascript创建。在Javascript中,我们使用AJAX向REST WebService发出post请求。REST部署在Tomcat服务器上。
这是一个web应用程序,用户可以通过提供凭据登录(AJAX调用/login webservice并获得响应)。现在,为了实现OAuth2,我读到了它,发现客户机的类型决定了要使用哪个OAuth授权。在此方案中,客户端似乎是公共的,并且隐式授权类型或资源所有者密码凭据似乎是可接受的类型
浏览 0提问于2017-02-22得票数 0
1回答
我们已经创建了自己的oauth 2服务器,其授权代码实现来自下面的代码库。
但是,我们正在尝试将oauth2客户端身份验证集成到web应用程序中,包括react路由器和流量实现。
我们研究了许多git存储库,但没有找到任何正确的方法来实现这一点。
是否有任何实施措施向我们指出如何实现这一目标?
再次感谢。
更新
我们正在研究下面的存储库,但仍然不清楚我们是如何工作的。比如在哪里合并auth和oauth逻辑,以及创建服务器/客户端的内容。
浏览 2提问于2016-01-24得票数 15
基本上,我不能让spring引导oauth2集成来使用spring会话。
我在spring的问题跟踪器中创建了一个问题:
我做了一个回购来演示这个问题。
有两个模块:
auth服务器是oauth2授权服务器.要运行它,只需mvn。服务器将在
web是使用auth服务器进行单点登录的web应用程序。mvn将在上启动应用程序
我的sso注销逻辑如下所示:
单击" logout“按钮将向发送一个帖子,并在成功注销后传递要重定向到的URL。
服务器注销并重定向到
然后发布到
(默认的spring-安全行为)退出后,重定向到
重定向到并提示用户再次登录。
浏览 0提问于2015-11-01得票数 1
回答已采纳
1回答
我正在创建一个应用程序,我将有一个客户端,谁发布的广告和用户谁查看和接受添加。客户端将登录主Web服务器站点以发布添加的内容,而用户将登录(获得授权)以查看移动站点。
我被oauth2授权卡住了.我已经设置了服务器,使用curl获得了授权码,但是,有人能为我澄清一些事情吗?
我的客户端和用户是否存储在同一个数据库表中?我是应该将想要查看api的每个人都存储到用户中,还是应该为用户创建一个新模型/之类的?
在这种情况下,我需要oauth2吗?例如,很多关于这方面的教程都是关于第三方应用程序获得授权给谷歌的。而我的移动应用程序和web服务器都属于同一公司或站点。
浏览 0提问于2016-12-02得票数 0
我有一个问题,我正在努力找到一个像样的答案,并希望通过发声,有人能够引导我或建议我正确的方向。
我们当前所有的web应用程序都是使用Spring构建的,其中包含了由Spring security模块处理的安全性。我们正在探索将一些新的android项目集成到这些web应用程序中的机会。
经过一些研究和指导,所有标志都指向Android App中的OAuth2实现,并使用它通过Restfull调用访问web应用服务器的相关部分。
我现在想要理解的是,我们可以也应该在我们的web应用程序中替换现有的Spring Security实现,并将其替换为Spring Oauth2等效项。
我们的总体目标是
浏览 3提问于2015-10-22得票数 1
我使用AccountManager和范围"oauth2:“验证用户到谷歌。
我已将收到的令牌发送到服务器。服务器尝试使用我的令牌进行moments.insert,但收到“代码”:401,“消息”:“未授权”
服务器只使用我的令牌"me“作为用户id。
请帮助:问题是在服务器端还是在客户端,问题是什么?
谢谢!
浏览 3提问于2013-12-20得票数 0
1回答
我正在编写一个使用OAuth2进行授权的web服务。我正在使用C#和WCF,尽管这与我的问题不太相关。我以前从未使用过OAuth,我一直在做我的研究。我是在“验证他们真的被授权使用这个服务”的结尾。我认为我现在对OAuth2的工作方式有了很好的了解,但是它的一个方面仍然让我感到困惑。
OAuth2是基于令牌的.令牌只是文本,包含一些信息,包括只有您的应用程序(在我的例子中是web服务)和授权服务器知道的“秘密”。秘密可能只是一个文本短语或一个巨大的字符串半随机字符(有点像一个GUID)。这“证明”用户联系了授权服务器,并从中获得了秘密。让我困惑的是,这似乎只是证明用户在过去某个时候联系过授权服
浏览 0提问于2017-03-21得票数 0
回答已采纳
我正在编写与某些Oauth2提供商集成的客户端应用程序。我将使用本地android应用程序作为前端,而spring引导作为后端。我想在PKCE中使用authorization_code流。我的问题是谁应该生成代码验证器和代码挑战?我的后端还是我的本地应用程序?
我可以看到两种选择:
1)前端调用授权端点。后端正在生成code_verifier和代码挑战,并将代码挑战返回到前端,并将其重定向到授权服务器。用户登录,授予权限,然后接收授权代码并转发到后端。然后后端使用code_verifier、客户端id和客户端机密调用授权服务器,并接收访问令牌。
( 2) FE生成code_verifier和代
浏览 4提问于2020-05-25得票数 3
回答已采纳
说oauth2服务器可以与现有的用户数据库集成,但没有给出实现这一点的示例。请提供一个示例,说明如何在连接到现有SQL Server数据库的docker堆栈中设置oauth2服务。如果这样的集成需要一个单独的REST API服务来处理特定于实现的接口,请提供一个如何部署和配置的示例。感谢您的出色工作。
我还应该注意到,在我的实现中,我对用户名(这是一个电子邮件地址)、名字、姓氏和手机号码使用了可逆加密,并对密码使用了三重哈希。
浏览 31提问于2019-11-05得票数 0
Django站点充当oauth2提供程序。应用程序tomcat_app的设置如下所示:
每当有人试图登录到tomcat_app时,用户就会被重定向到Django。如果用户能够提供有效的凭据,他们将被重定向到tomcat_app。到目前一切尚好。Tomcat_app还提供了一个REST,它知道oauth2工作流。如果reqeust提供了一个有效的令牌请求,则将被接受。
我头脑中的结:第三台服务器也应该被授予使用tomcat_app rest的权限。是否有可能
在django externalapp_user/externalapp_password中设置一个新用户
通过向dja
浏览 5提问于2021-01-11得票数 0
回答已采纳
1回答
我用Ory Keto实现了RBAC,根据token的声明来管理用户的权限。我使用Ory Oathkeeper作为反向代理,它使用Ory Hydra对用户进行身份验证,并使用Ory Keto进行授权。现在,我想将这些服务与Firebase/Firestore集成在一起。
我认为将Ory Hydra (认证服务器)与Firebase/Firestore集成是可能的,因为它可以集成Auth0 ()。也就是说,我认为可以使用Hydra的访问令牌(OAuth2)或OpenId令牌(JWT)来创建自定义的firebase令牌,并使用后者来授权访问(创建firebase规则)。
我想知道是否可以在fireb
浏览 0提问于2019-03-12得票数 3
1回答
我计划构建一个用户管理Java,并将其部署到Wildfly中。API规范将使用Swagger完成。
然后,我将使用Wildfly +应用程序创建一个Docker映像,然后在AWS (EC2容器服务)上从该映像创建一个容器。
下一步是将API的Swagger规范导入AWS网关,并将请求转发到创建的AWS容器。
我的问题。实现OAuth2服务器的最佳选择是什么:
在Lambda函数中创建它,并将其用作API网关中的自定义授权器?
在一个新的Java应用程序上创建它(在相同的或新的Wildfly容器上),因此不使用API网关的自定义授权器选项?这是否可能,因为这些请求将从API网关接收到?我
浏览 4提问于2017-04-29得票数 4
2回答
我需要开发一组用于web和移动客户端的微服务(rest ),这些微服务位于API网关的后面,我必须与SSO (使用SAML)集成以进行用户身份验证,我知道必须完成SAML令牌到oAuth2令牌的转换,以便在API网关上验证SAML令牌并在那里处理授权,但我不清楚的一点是,谁将注意SAML令牌到oAuth2的转换,是IDP提供了这个功能,还是我需要自己构建一些东西?
我正在考虑的一个可能的解决办法是
用户(来自web/移动)通过SSO登录
从IDP获取SAML响应。
将SAML响应发送到服务器以生成Auth令牌
服务器获取生成auth令牌的请求,查找SAML响应并根据IDP验证它
浏览 2提问于2020-12-06得票数 0
我用yii2编写了rest,我使用的是oAuth2,问题是当用户想要登录时,客户端web应用程序应该发送请求获取令牌,请求应该包含client_id和secret_key以及用户名和密码在这种情况下,用户可以简单地检查元素并单击到网络并查看提交给服务器的参数,这意味着用户可以看到client_id和secret_key。client_id和secret_key是每个应用程序的签名,服务器可以找到使用api的应用程序。如何处理这个安全问题?
浏览 3提问于2018-01-20得票数 1
回答已采纳
我有自己的REST API服务器,它存储用户数据并处理所有请求。前端运行在另一台服务器上,然后还有一个移动应用。我想集成OAuth2,但我不知道该选择哪种授权类型。一方面,ROPC授权类型最适合我的情况,因为我不允许任何第三方应用程序,我不希望用户被重定向到任何地方,用户永远不能直接使用我的端点,只能通过某种界面(前端或移动GUI)。那么,这里有哪些可能的选择呢?
浏览 26提问于2021-10-18得票数 0
我已经编写了一个API,它支持OAuth2的“资源所有者密码凭据授予”身份验证工作流。
我有一个Symfony2应用程序,并希望用户能够输入他们的用户名和密码到一个表单和安全系统,以交换这些与我的应用程序接口为access_token。
我知道可以编写一个自定义身份验证处理程序来完成此任务,但如果可能的话,我想使用现成的工具。经过一些研究,我可以看到很多库只支持更传统的3条腿的工作流。
有没有将“资源所有者密码凭证授予”工作流程集成到Symfony安全系统中的库?
浏览 0提问于2013-03-06得票数 1
1回答
我有一个asp.net应用程序,在该应用程序中,我试图集成AD身份验证,而不需要将用户重定向到。我使用了下面的代码并按照最新的文档做了一些修改,但是我得到了如下错误
Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: 'unknown_user_type: Unknown User Type'
这是我写的代码
var tenant = System.Configuration.ConfigurationManager.AppSettings["Tenant"];
var serviceUr
浏览 1提问于2021-08-18得票数 0
回答已采纳
1回答
给定有效的用户名和密码,我是否可以使用OAuth、OAuth2或OpenId执行身份验证(基本是为了知道用户和密码是否正常)?
我需要调用身份验证服务器,以了解用户和密码是否有效,是否为。
更新
实际上,我找到了一个,其中解释了OAuth2支持这种机制:
然而,OAuth2也支持用户告诉客户端他的用户名和密码的场景。在这种情况下,客户端将此信息以及客户端ID和客户端机密和所需的范围传输到授权服务器,然后直接获得所需的令牌,而不需要其他调用。
所以,下一个问题是,请你提供一个工作的例子。
浏览 1提问于2013-03-08得票数 0
回答已采纳
我们正在开发一个由一组作为Spring Rest API开发的微服务组成的产品,这些API将使用Angular JS客户端调用(不是保密的客户端到服务器通信),并且还将相互交互(服务器到服务器通信);我们处于开发单点登录解决方案的阶段,我们还希望为每个API实现基于用户角色的授权,同时深入研究spring Security,我注意到对OAuth2标准的巨大支持,但同时我看到了一个集成了Spring客户端的CAS服务器的实现;现在我的问题是,为什么有人会使用CAS服务器,而不是使用原生spring安全实现,以及角色将如何从CAS服务器传递?
浏览 11提问于2017-12-17得票数 0
1回答
我正在将OAuth2集成到REST中,我想知道如何为请求发送access_token参数。
示例:
我的服务器接受两条路由:
POST /write
获取/read
对于/write,我应该把access_token放在帖子里吗?
curl http://api.localhost/write -d 'access_token=[ACCESS_TOKEN]'
对于/read,我应该把它放进GET吗?
curl http://api.localhost/read?access_token=[ACCESS_TOKEN]
或者在这两种情况下,它应该通过邮寄吗?
谢谢,
加西姆
浏览 4提问于2013-06-27得票数 36
回答已采纳
1回答
我想用Spring实现OAuth2。我看到了最大的演示,他们使用了硬编码的客户身份和秘密。在实际项目中,我们如何使用这些?
我正在附上两张图片。一个是客户端代码,我用的是角,另一个是服务器代码,是用Spring OAuth2编写的。
浏览 1提问于2017-12-22得票数 0
1回答
我有AWS K8s集群(EKS),我希望使用API网关来保护端点,并将授权逻辑与微服务分开。我需要有两个身份验证模式:
发送登录/密码并获取JWT
OAuth2
API网关与K8s集群通过进行集成。看上去很好。那我需要验证一下。AWS提供认知服务,作为管理用户的服务,以及拥有自己的身份提供者的可能性。我知道我们可以将API网关授权器与认知技术集成在一起,但我无法理解以下内容:
例如,如何将认知与已经存在的LDAP集成起来?(SAML?)
我可以使用我自己已经创建的OAuth2身份验证端点吗?
如何使用登录/密码进行身份验证并使用API gateway+Cognito
浏览 2提问于2020-09-29得票数 2
回答已采纳
1回答
我在这里遇到了真正的麻烦,需要你的帮助。我在一家银行工作,被分配了一项使用Spring实现OAuth2服务的任务,从上个星期开始我一直在探索,并且能够实现密码流授予类型的OAuth2服务,但现在我有几个问题,因为我的前辈说密码流不适合我们的用例。首先,我想解释一下用例:
步骤1:用户将在不需要登录的情况下访问web应用程序的应用程序URL,并且在应用程序加载之前,OAuth2服务将使用登录AD (system)用户id进行访问。
步骤2. OAuth2服务应该使用ldap与给定的用户id对用户进行身份验证,并返回用户所属的所有组以及访问令牌,后者将用于访问
现在我有以下问题:
哪种授权类型
浏览 2提问于2018-05-24得票数 0
我一直在寻找如何使用ASP.Net MVC使用具有oauth2授权的web的方法。有什么建议吗? 我已经尝试向web api发送请求并收到响应。但当涉及到Oauth2授权时,我遇到了困难,因为我不知道如何发送像clientsecret和clientid这样的头,也不知道如何将原始的json数据发送到web api。我已经尝试过在postman上测试我的应用程序接口,它工作正常。我现在想知道如何创建一个可以在Oauth2授权下发布和访问该web的web应用程序。
浏览 24提问于2019-04-25得票数 0
回答已采纳
在过去的几天里,我一直在使用OAuth2,我相信我已经解决了大部分问题,并且我的代码运行得相当好。我觉得奇怪的是,WSO2不允许您使用client_id / client_secret授权OAuth2令牌内省。为什么不允许这样做?
我对OAuth2的理解是,您需要将客户端注册到授权服务器(在WSO2下注册为服务提供者)。这使客户端能够与服务器进行标识。租户用户有什么特殊之处,必须提供它来反省令牌呢?其他OAuth2系统没有这种要求。
浏览 0提问于2018-05-16得票数 1
回答已采纳
我们有一个应用程序,它使用OAuth2 Google登录系统,我们希望在初始注册过程中将用户的数据存储到我们的后端应用程序中。
这就是我们设置它的方式:
用户使用Google登录登录该应用程序。
我们获得一个ID令牌并将其发送到服务器
在服务器上,我们使用Google库验证此令牌是否有效,并保存从验证中获得的信息。
我们还需要用户在经过身份验证后能够更新/插入数据到后端。
在初次注册后,我们如何做到这一点?
我们是否每次在后端调用API时都将ID令牌从客户端发送到服务器?在这种情况下,如何处理过期的令牌?
浏览 0提问于2016-11-28得票数 1
我试图用OAuth2为用户获取凭证访问令牌,该凭证是在DB中注册的。在我的oauth_clients中,我有一个有效的客户机,它有' client _id=myclientid‘、'client_secret=myclientsecret’、‘grant_type=password’。在我的oauth_users表中,我有一个测试用户,名为'username=Beno',‘password= my 888’。我像这样向'‘发送数据
$ch = curl_init( 'http://myserver.com/token.php' );
浏览 2提问于2017-04-22得票数 1
我是WSO2 API管理器的新手。我安装它是为了代理我的REST端点,并通过oAuth2进行访问管理。太棒了!我设法通过API的oAuth2过程(通过API )访问了我的后端REST实现。现在,我想设置完整的往返,从一个用户身份验证过程开始,在这个过程中,使用相应的角色验证身份。所以..。
接下来,我希望创建一个单一页面应用程序,通过将用户重定向到登录页面(身份验证服务),或者让用户直接与单个应用程序页面交互,并让单个应用程序页面对某个身份验证服务进行登录,从而实现身份验证步骤。
问题:是否可以使用API的密钥管理器组件来处理用户身份验证(基于oAuth2),或者是否需要安装WSO2标识服务器
浏览 2提问于2016-10-12得票数 4
回答已采纳
2回答
我正在为学习管理系统创建一个REST启发API。它将公开诸如用户、类、年级、课程等数据。我已经定义了我想公开的所有资源,给他们每个端点URL,并定义了返回的JSON资源结构。
现在我想了解如何使用Oauth2保护API (我不想使用Oauth1)。我是否正确地假设我的API将同时扮演授权服务器和资源服务器的角色?另外,我应该研究什么样的赠与类型/流程?
很多教程似乎专注于使用Oauth2登录,使用facebook凭据等,但我只想使用它来保护我的API,并允许我的用户访问我的API (或者通过客户机,或者直接访问)。API的访问权限应该遵循系统中已经处理的各个用户的访问权限。
抱歉,我对散乱的问
浏览 0提问于2015-01-21得票数 2
回答已采纳
使用简单的后端(如Spring)和SPA前端和OAuth2 auth提供者,基于http会话实现授权的正确方法是什么?
使用术语“正确”,我指的是模拟用户获取会话cookie的后端的方法。
不幸的是,到处都有“可伸缩、restful、无状态”的JWT炒作。但是我的应用程序将被很少的用户使用,它只需要由http会话提供的普通的、好的安全性。目前Okta解决方案提出的“建议”导致对每个API请求进行验证,因此每个调用都有很大的开销,这导致性能不佳。
假设我们在myapp.com上公开了SPA应用程序,并且它的后端通过myapp.com/api在代理上公开。
我想的是这个场景的实现:
用户访问S
浏览 0提问于2019-04-01得票数 1
回答已采纳
我已经使用谷歌作为授权服务器和我的资源服务器(Spring)设置了OAuth2,并且我能够使用OAuth2访问我的服务器上的API。虽然我不确定注册用户的最佳方式是什么。
我可以检查用户是否已经存在于服务器中,并在他们发出API请求时创建它。但我不确定这是否是应该这样做的方式。我是OAuth2的新手,2天前才开始学习如何实现它们,因此我希望在正确执行的过程中能得到一些反馈。
如下所示,我抛出了一个异常,当用户不能找到后,令牌的用户信息或如果它保存在数据库中作为一个现有的用户。
private Authentication getAuthenticationToken(String access
浏览 0提问于2020-02-28得票数 0
3回答
我已经阅读了大量关于OAuth和OpenID连接的文章,但这个问题专门涉及OAuth2资源所有者密码授予(又名OAuth2资源所有者凭据授予,又名OAuth2密码授予)。
一些资源(比如贾斯汀·里奇的"OAuth2 in Action“一书)说,不使用OAuth2资源所有者密码授予进行身份验证()--参见书中的6.1.3节。
其他好的资源,比如下面的,都说我们可以使用OAuth2资源所有者密码授权来通过受信任的应用程序对用户进行本质的身份验证
但是,我很难理解为什么我们不应该使用OAuth2资源所有者密码授权作为认证成功的本质证据?
我对资源
浏览 7提问于2017-11-23得票数 6
我目前正在研究Spring,并且在安全服务器中使用HTTP进行SSO时非常成功。
现在,我正在尝试集成表单登录(Spring默认登录页面),禁用http。但是,只要输入正确的用户名和密码,它就会再次重定向到安全服务器的登录页面,就好像它没有经过身份验证一样。
客户端转到SSO服务(未经授权)
转交给安全局/奥斯/授权?(未经授权)
转发到安全/登录,客户端输入正确的凭据(认证)
转交给安全局/奥斯/授权?(未经授权)
再次转发到安全/登录
这是我对安全服务的配置。
spring:
profiles: development
application:
浏览 5提问于2016-09-05得票数 2
2回答
我一直在翻阅Google和Drive上的所有GoogleDrive文档,但是我无法找到一种不需要使用GoogleDrive就可以连接到特定GoogleDrive的方法。
我意识到OAuth2允许服务器或客户端能够安全地连接到特定的Google。但是,我想知道是否有一种方法可以简单地为Google实例拥有一个API密钥,并通过它访问我的文件和文件夹。事实上,我已经可以用OAuth2连接用户的Google,但我只想以这种方式连接到我的驱动器,以便自动将统计数据推送到我自己的Google上的表单中。由于它是自动的,所以我不想填写凭据表单,然后单击"Accept“,所有这些,当然,我意识到,在
浏览 1提问于2014-05-09得票数 10
回答已采纳
我仍然在试图理解OAuth2流以及它是如何一起工作的,所以如果这个例子令人困惑,请提前道歉。
我理解OAuth2授权流的方式是:
用户转到网站的网址()
用户被重定向到授权服务器,如PingFederate,用户将在那里进行身份验证。
一旦通过身份验证,用户将被重定向回初始站点,并使用授权代码。
等等。
这是我处境不同的地方。我不能将用户重定向到授权服务器登录,因为我的公司使用第三方应用程序框架来验证用户到专有数据库的身份。因此,我的用户已经通过了身份验证。而且,我的用户永远不需要允许另一个应用程序访问他们的联系人,等等.就像我看到的所有OAuth2例子一样。
但是,我
浏览 6提问于2022-07-26得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
