在授权码流的情况下,我们应该检查令牌吗?
在授权码流的情况下,我们应该检查令牌。
授权码流是一种常见的身份验证流程,用于获取访问令牌。在这个流程中,用户通过提供用户名和密码等凭证,向授权服务器请求授权码。授权服务器验证凭证的有效性后,颁发一个授权码给客户端应用程序。然后,客户端应用程序使用授权码向授权服务器请求访问令牌。
尽管授权码流已经验证了用户的身份,但仍然有必要在获取访问令牌后对令牌进行检查。这是因为授权码流只验证了用户的身份,而没有验证令牌的有效性和权限。
在检查令牌时,可以考虑以下几个方面:
- 令牌的有效性:检查令牌是否过期或被撤销。令牌通常具有有效期限,超过该期限后将不再有效。此外,令牌可能会被撤销,例如,用户主动注销或管理员禁用了该用户的访问权限。
- 令牌的权限:检查令牌所包含的权限是否满足当前操作的要求。令牌通常会包含一些访问权限或作用域,用于限制客户端应用程序的操作范围。在进行敏感操作之前,需要确保令牌具有足够的权限。
- 令牌的完整性:检查令牌是否被篡改或伪造。令牌可能会在传输过程中被攻击者截获并篡改,或者攻击者可能伪造一个有效的令牌。为了确保令牌的完整性,可以使用数字签名或其他验证机制。
在腾讯云的云计算领域,可以使用腾讯云的身份认证服务(CAM)来管理和验证令牌。CAM提供了一套完整的身份认证和访问控制解决方案,可以帮助用户实现令牌的有效性检查、权限管理和安全性保障。
更多关于腾讯云CAM的信息,请参考腾讯云CAM产品介绍:腾讯云CAM
相关·内容
我有几个问题。
授权代码流和当前
当使用授权代码流时,是否需要验证客户端的时间?在一般的OAuth提供程序实现中,从授权代码中获取访问令牌的过程只能工作一次。从这一点看,授权代码流似乎已经支持了不使用现在的重放攻击?
授权码流和ID令牌
在web应用程序中使用授权代码流有什么好处?ID令牌是一种身份验证机制,而不是授权机制,据我所知,它用于验证哪个OpenID提供者正在验证哪个用户是哪个中继方。
但在授权代码流中,
OAuth 2.0要求使用HTTPS。这样,如果正确实现了SSL证书验证,它将是有效的OpenID提供程序的证明。
在一般的OAuth提供程序实现中,当从授权代码获得访问令
浏览 3提问于2016-11-19得票数 3
回答已采纳
1回答
我正在开发一个应用程序使用node.js,这也将有一个移动客户端。我希望使用OAuth 2.0进行身份验证。有没有好的模块可以让我拥有OAuth 2.0认证服务器?
我查看了Passport "OAuth2orize“的一个附属模块。我发现它已经足够好了,但真正的问题是理解它如何在我自己的应用程序上工作(示例和文档中指定了关于第三方授权的内容)。
基本上我想要的是,客户端登录与客户端id,用户的用户名,用户的密码,在那里我给他一个令牌后,验证了上述三件事。但是Oauth2orize的问题是有重定向、URI等等,这让我很困惑。
请帮助我知道如何使用Oauth2rize或任何其他真正好的模
浏览 0提问于2013-06-25得票数 3
我正在学习使用API,所以我做了一个Gnome Shell扩展,由Ubuntu顶部栏中的按钮组成,通过调用Spotify的API来控制Spotify的播放器(下一步、播放、暂停、上一步)。到目前为止,我是手动获取令牌的,但当它们在1小时后过期时,我想添加一些代码来在后台单击即可完成。 当我手动操作时,我去accounts.spotify.com/authorize?redirect_uri=http%3A%2F%2Flocalhost (后面有很多东西),然后我被重定向到指定的url,里面有一个代码(本地主机用于测试,但如果需要的话,我有一个域名)。我想知道如何在我的程序中从url中恢复这段
浏览 11提问于2020-04-17得票数 1
1回答
Openid连接端点之间的通信
、、、、
我正在尝试理解OAuth 2.0和OpenID连接,我有一个重要的问题: OpenID连接端点如何相互通信?
示例:在授权代码流的情况下,如果授权EndPoint向客户端提供access_token,则此客户端将向UserInfo端点发送此令牌以获取用户信息。因此,这里的问题是,UserInfo端点如何验证客户端发出的access_token是否正确?这两个端点之间是否存在通信?
谢谢你的回复。
浏览 25提问于2016-09-27得票数 0
4回答
IdentityServer流
、、、、
IdentityServer支持不同的OpenId连接流,这些流在枚举中定义并为客户端设置。每种类型的流都有示例,并且在文档中有很多对它们的引用,但是我在中找不到流的简单定义列表,因为它们太明显了,无法用语言来解释。但我猜他们不是。你能多讲讲它们之间的区别吗?也许我们可以把它们加到文档中去?
那么什么是:隐式流、资源所有者密码凭证流、授权码流、客户端凭证流、自定义授权<代码>E211</代码>流和<代码>E112</代码>混合<代码>E213</代码>流?另外,哪些是OAuth流,哪些是OpenID连接流?
谢谢!
浏览 16提问于2015-04-17得票数 56
回答已采纳
我读了Youtube开发者网站上的文档,它没有提到任何有效性。
OAuth 2.0标准是否定义了有效期,或者授权令牌在用户手动撤销之前是否有效?
浏览 5提问于2012-09-12得票数 3
我正在尝试从访问代码中获取访问令牌。但出现错误400 Bad Request error
我正在使用此链接获取访问代码
作为对此链接的响应,我将获得查询字符串中的代码,返回url code=Mh12d04c8-8ea9-c82b-8cc5-b93cf913382c
我使用此代码来获取访问令牌
但它给出了400个坏请求。请帮我解决这个问题。
浏览 0提问于2017-02-20得票数 2
回答已采纳
我用oath2做了我自己的认证服务器(没有使用任何facebook或google),我想知道在移动设备上首先在哪里存储客户端秘密。由于共享首选项可以在根电话上被黑客攻击,而访问令牌请求需要客户端id,因此我面临着一个问题。
(请不要将此问题标记为重复,因为我在类似的帖子中没有找到答案)
浏览 0提问于2016-05-01得票数 2
我有一个后端是用Laravel 5.2构建的,前端是用AngularJS构建的。
该站点有一个事件列表,它向后端发出GET请求以获取所有事件。
如何防止有人使用我的API获取其他站点或移动应用上的事件?
我希望端点只能从我的前端访问。
这有可能吗?
我应该检查什么?
API key是什么方式?
浏览 0提问于2016-02-04得票数 0
通过新的OAuth2.0规范(RFC6749 ),我看到隐式授权协议工作流使用Url Hash片段在授权服务器和公共客户端之间交换“access_token”。
请参阅规范:
不能将授权授权响应作为'Query Params‘而不是Url片段发送,同时保持流的其他部分不变吗?
基本上我不能理解OAuth2的规范作者选择url散列片段进行隐式授权流授权的限制?
浏览 2提问于2013-05-24得票数 32
回答已采纳
据我所知,在授权码流程中,我们需要获取授权码,然后使用它来获取令牌。只有当用户确认指定的访问权限时,我们才能获得此代码。之后,浏览器将用户重定向到redirect_uri,响应将包含授权码作为参数。那么,问题是:有没有可能在没有浏览器或任何自制UI的情况下获得这个授权码?我们是否可以在正确请求后将其应用到应用程序中,例如https://mysite.tuz/authorize?
浏览 2提问于2018-02-16得票数 6
回答已采纳
2回答
使用Open ID Connect时,当使用混合流时,code id_token token响应类型的值是什么?
这将返回一个包含授权码、身份令牌和访问令牌的响应。在响应中已经有访问令牌的情况下,授权码是多余的吗?
浏览 2提问于2019-01-16得票数 2
我想看看Oauth2/OpenIdConnect是否适用于我们的场景。
通常,我们的客户端登录到我们的系统,创建一个会话,客户端重定向到我们的reports.aspx页面。
我们的客户很懒,他们想要一种简单的方式,通过他们供应商的网站登录我们的网站一次,而我们的供应商不想在我们已经有用户管理数据库的情况下保留用户管理数据库。
我们的客户正在与他们的供应商合作,让他们的客户应用程序通过我们的身份验证,然后他们可以被重定向到我们的reports.aspx页面。有点像单点登录。
在Oauth2规范中,有很多关于RESTful API端点的引用。如果您没有RESTful应用编程接口端点怎么办?遵循授权
浏览 0提问于2017-01-10得票数 0
1回答
我已经为我的应用程序设置了Azure B2C。它既有一个后端,也有一个SPA风格的前端,我希望在我必须做的一些身份验证工作中使用这两者。这意味着我需要让它们都适合我的工作流程。 ? 但问题是,在web应用程序中,重定向URI(如下所示)是作为https://localhost.com/account#id_token=xxxxxx发送的,而我希望它们是web应用程序的https://localhost.com/account?code=xxxxxx! ? B2C区分了b/w WebApps (服务器技术)和SPA应用程序(如下所示),所以我希望B2C能够提供适当的令牌类型(
浏览 22提问于2020-10-05得票数 0
1回答
我需要实现用户的单点登录,它可以从几个不同的服务获得服务。
当只有一个服务时,用户可以从客户端登录,将请求发送到后端,将URL返回到JWT令牌颁发者服务器,用户可以从该服务器获得令牌,然后将令牌发送回BE,现在他已通过身份验证。
现在的变化是,他需要得到更多的服务。每个服务都有自己的前端和后端,但每个人都使用相同的颁发者。这意味着既有带有FE和BE的服务,也有另一个用于身份验证的通用BE。
在该场景中进行身份验证的正确流程是什么?是否可以为客户端为每个所需的服务颁发令牌?或者,BE是否应该使用服务的BE url响应客户端,并让客户端自己发送来自每个服务的身份验证令牌响应?还是别的什么?
浏览 1提问于2019-12-01得票数 0
我有一个windows服务(无用户交互),它调用受保护的服务(例如,调用REST / WEB API)。我尝试使用客户端凭据流,但看起来IdentityServer3不理解客户端凭据流。subject值(应包含ClaimsPrincipal对象)为空。知道这里的问题是什么吗?IdentityServer3是否支持客户端凭据流?在IdentityServer3中使用客户端凭据流的正确方式是什么?
以下是我的客户端代码,它最终从IdentityServer3获得内部服务器错误响应:
var handler = new WebRequestHandler();
handler.Us
浏览 0提问于2016-10-19得票数 0
如何使用c#的获取授权码?
我需要进行两个单独的调用,因为我必须使用的服务器基础设施,一个/auth和一个/token,显然不能像谷歌那样只使用一个端点。
这就是:
但这只会创建请求,我为authorize端点遗漏了类似以下内容:
var client = new HttpClient();
var response = await client.RequestTokenAsync(new TokenRequest
{
Address = "https://demo.identityserver.io/connect/token",
GrantType =
浏览 0提问于2020-07-15得票数 0
例如,假设我有两个功能,一个需要Google联系人,另一个需要Google Calendar。
我们还可以说,第一个功能被大量使用,因此请求用户授权两个身份验证范围会导致显著的下降率。
如果我为绑定了联系人身份验证作用域的用户存储访问令牌,当稍后我为该用户请求额外的身份验证作用域日历时会发生什么?我是否可以得到一个仅包含日历范围凭据的新令牌?
LiveConnect说,替换现有作用域的作用域会产生一个具有保护伞作用域的新令牌,而旧的令牌将失效。
浏览 1提问于2012-04-12得票数 0
我正在使用Identity Server3在MVC应用程序中对用户进行身份验证/授权。
MVC应用程序使用来自IAppBuilder的UseOpenIdConnectAuthentication方法。
我的MVC应用程序只有一个MVC控制器,用于创建和角度应用程序。
现在,当我进行ajax调用并得到令牌已过期的响应时,我会显示一个带有重新加载按钮的弹出窗口,该按钮将用户重定向到来自HomeController的操作,该操作通过重定向通过IS3对用户进行重新授权。
我的问题是-有没有一种方法可以在不使用弹出窗口和进行重定向的情况下静默地完成这项工作?
也许在页面中有一个iFrame,它定期向该操
浏览 1提问于2016-06-07得票数 1
1回答
问题:我相信我理解PKCE对隐式流的改进,但是在使用PKCE的用户机器与应用程序接收和处理后端授权代码的授权代码流之间,安全性有什么根本的区别呢?
背景:我们的团队一直在寻求在不同的产品组合中添加/实现单点登录。其中包括一个具有登录表单/cookie的旧网站,一个目前使用对称JWT的SPA/PWA,以及一个使用JWT的桌面应用程序插件。我们的Auth0价格已经不高了,所以我们希望通过微软和/或谷歌的登录来利用OpenID连接。
作为一个尝试,我们已经得到了“授权代码授予流程”与常规网络应用程序。也就是说,用户被重定向到他们完成的MS/Google登录,用授权代码重定向回来,我们的服务器接收授
浏览 9提问于2022-06-12得票数 0
2回答
场景是我有两个资源微服务(用Spring Security保护),让我们假设A和B。A想要以预定的方式从B收集数据,A将每小时调用B的端点来收集一些数据。问题是,如果两个资源服务具有有效的访问令牌,则它们可以相互通信,或者我们可以说是用户登录。但是,计划的作业必须独立于登录用户而持续运行。那么从A调用B的正确方式应该是什么呢?
a.为超级默认用户配置以运行计划的作业,隐式进行身份验证?
注意:排定的作业与用户干预无关。
浏览 0提问于2017-03-20得票数 1
1回答
我正在使用dotnetopenauth和google api。我的问题是从我保存的刷新令牌中获取授权码。如果我能得到那个代码,我就能得到accesstoken。我想要的是代码,而不是直接访问。我找不到任何可以从我的刷新令牌中返回授权码的端点方法或url。提前感谢
浏览 2提问于2013-01-09得票数 0
回答已采纳
目前,我正在使用Amplify SDK在应用程序中使用AWS Cognito。登录后,我正在检索idToken,根据文档,它将在大约30分钟后过期。因此,每次idToken过期时,我都必须让用户再次登录以检索idToken。有没有办法获得刷新idToken,而不是让用户在每次到期时再次登录? 我已经看过这份文件了,但不知道该怎么办。Using Tokens with User Pools
浏览 27提问于2020-06-26得票数 1
我已经从Git for AAD图形API下载了一个MVC应用程序。我运行了这个应用程序,但每次都没有得到预期的结果。
为了找到错误,我使用postman运行了相同的api,并生成了下面的令牌作为响应。
{
"odata.error": {
"code": "Request_ResourceNotFound",
"message": {
"lang": "en",
"value": "Resource not found for
浏览 0提问于2017-01-11得票数 0
每次我读的时候,我都比以前更加困惑。我想对场景3和4(服务器端应用程序和客户端应用程序)下的一些项目进行一些澄清。
对于服务器端应用程序,它声明“如果调用是在该用户仍然有一个有效的60天access_token的情况下进行的,则第二个调用返回的access_token可能是相同的,或者可能已经更改,但无论是哪种情况,到期时间都将是新的60天。”
这里所指的“电话”是什么?
是否与初始OAuth流期间发生的访问令牌的授权代码交换相同?
还是客户端部分中描述的端点调用将令牌更新为60天?
如果是前者,那么在尝试更新令牌时授权代码从何而来?
是来自原始回调的相同授权代码,还是必须
浏览 10提问于2012-04-24得票数 0
以下是我对令牌交换流的理解:
首先,我应该遵循docs的这一部分:
创建身份提供程序后,我希望使用此端点注册测试用户。
与上述端点相关的第一个问题是,如何授权此请求?在swagger文档中,只有clientCredential和AuthorizationCodeAuth选项。这是否意味着我需要一种这样的授权,这样我就可以从我的服务器授权请求(从应用程序的角度来说,比如说)。对于端点,如:
列出所有业主
注册用户
等。
现在假设我注册了一个用户,使用客户端凭据来授权一个请求。我正在尝试登录,下面是文档中的Token Exchange部分。
在这里,它说我需要使用这个POST
浏览 14提问于2022-05-11得票数 2
回答已采纳
我想要获取用户所属的组。我关注这个主题:Display content based on group membership - OKTA + ReactJS 我将作用域添加到ReactJS安全组件,并将作用域groups添加到OKTA中的默认授权服务器。在那之后,按照链接说明,我也必须Create a Groups Claim for Okta-Master groups。 我做了所有这些,没有错误,但当我在React中通过auth.getUser()获取user对象时,我看到的信息和以前一样,没有组。 我知道可以通过OKTA API手动查询组和组成员身份,但如果我能这样做就好了。 有什么想
浏览 8提问于2019-04-23得票数 1
查看此,它在OAuth2中详细说明了客户端应用程序首先必须从授权服务器获取授权授权,然后使用该授权获取令牌,然后才能访问资源服务器。拨款的目的是什么?为什么不在用户使用他/她的用户名和密码登录后立即将令牌给客户端?
浏览 2提问于2017-10-10得票数 0
我一直在阅读不同的OAuth流程,并对授权代码流程感到困惑。据说授权码流更安全,因为即使授权码在传输过程中被劫持,它对黑客也是无用的,因为黑客需要客户端id和客户端秘密来获取访问令牌-但是如果当客户端在收到授权码后请求访问令牌时,黑客破解了传输并获得了访问令牌呢?我不知道,但看起来授权代码只是增加了一层额外的安全性,但实际上并没有完全保护访问令牌。我说的对吗?请纠正我。
浏览 0提问于2017-10-06得票数 1
我正在尝试为一个基于JavaScript2.0的应用程序实现 (JavaScript2.0)中描述的授权代码流。我知道我应该使用web服务器后端作为机密客户端,以便它可以保护授权服务器返回的访问令牌和刷新令牌,而不是将它们传递给JavaScript前端。然后,从前端到任何受保护资源的所有请求都通过web服务器后端,该后端将访问令牌附加到请求并将其代理。
我的问题是,如何让JavaScript前端以安全的方式使用这些令牌?我假设我必须做一些事情,比如在web服务器上建立一个会话,并传回一个标识该会话的cookie。但这意味着JavaScript应用程序随后具有cookie,该cookie给予它们
浏览 0提问于2017-08-11得票数 1
-在文档中有2种登录方法:
loginWithPopup
loginWithRedirect
我们能提供一种简单的电子邮件和密码登录方式吗?
浏览 5提问于2020-10-30得票数 0
回答已采纳
我们目前正在验证我们的会话和令牌超时设置,以排除可能的错误。我认为对于我们的用例,默认配置应该可以做到这一点。
我认为唯一令人担忧的值是“客户端登录超时”,我们将其设置为1分钟(如文档截图所示)。Documentation 声明:客户端登录是客户端在OIDC中完成授权码流的最长时间。
我读了,但我不明白...我猜文档副本是从redhat文档粘贴的(反之亦然),但也没有详细的解释。
所以我的问题是:什么是“客户端登录超时”,它的一个好的默认值是什么?对我来说,一个完美的答案是从用户的角度描述工作流失败时的情况(比如用户在单击电子邮件验证链接之前喝了1分钟的咖啡,等等)。和/或指向进一步阅读的链接
浏览 3提问于2018-11-19得票数 3
回答已采纳
我使用的OAuth要求我的API2.0重定向URI为urn:ietf:wg:oauth:2.0:oob。因此,当我在Paw中启动身份验证流时,系统会显示以下内容:
我把代码粘贴到Paw的什么地方?或者有没有一种我应该进行身份验证的更自动化的方式?
浏览 2提问于2017-10-20得票数 1
我们正在做一个学生项目。我们的目标是实现用户可以通过Keycloak使用x509证书进行授权。
实际上,我们不能继续接收授权码以将其交换为令牌请求。基本上,我们发送一个授权码请求并通过一个URL参数接收授权码。但是我们更愿意接收JSON格式的授权码。客户端的访问类型设置为public。
有人能帮帮我们吗。谢谢。
浏览 2提问于2018-09-13得票数 5
回答已采纳
我有一个REST API (内置在Node.js中)托管的Azure函数,使用Microsoft Azure Active Directory进行保护。 我还有一个托管在Sharepoint Framework (Sharepoint online)中的Javascript应用程序,我希望从该应用程序对我的自定义API执行一次Ajax调用,如下所示: $.ajax({
url: 'https://xxxxx.azurewebsites.net/api/xxxxx',
method: "GET",
dataType: &
浏览 34提问于2020-11-03得票数 0
回答已采纳
我看过很多帖子推荐在Xamarin中使用Xamarin.Auth进行单点登录,但在查看了和GitHub入门 (其中说它支持“授权码流”,但似乎需要来自客户端的密钥才能获得验证码,这不是我正在寻找的)之后,我在网上搜索了"Xamarin.Auth隐式流“和"Xamarin.Auth授权码流”,但都没有结果,在我看来Xamarin auth只支持隐式流。这比连接到后端web服务器应用程序的本机应用程序的授权代码流更不安全,就像我的一样。Xamarin.Auth只能支持隐式流(要求将访问令牌发送到客户端,而不能将client_secret保留在服务器端并将其作为访问令牌检索的一部分发
浏览 4提问于2020-03-03得票数 0
我一直试图实现一个应用程序,将需要用户授予访问谷歌分析。我一直在遵循这个教程:
在其他一些地方有AngularJs的代码,它使用相同的functionL
我的问题是,身份验证运行得很好,但它不返回refresh_token。它从不返回refresh_token。我已经试过网上所有可能的东西了。1.第一次,2.使用prompt=force等。但是似乎没有任何东西返回refresh_token。我猜这部分被客户或者其他什么东西跳过了。
我需要知道当用户第一次授予访问权限时如何获取refresh_token,以便我可以保存它。
浏览 1提问于2014-06-27得票数 16
回答已采纳
我正在编写一个python命令行应用程序,它要求用户使用"Authorization Flow“针对Azure进行身份验证。这需要我调用Azure MSAL python方法"acquire_token_by_authorization_code“。这个方法接受一个“授权码”作为输入,但是我不清楚如何获得授权码。这需要用户通过web浏览器验证自己,就像"az login“命令行程序一样,我假设一旦用户验证了自己,就会返回代码。我不清楚如何在我的python程序中获得授权码。我引用了一种。但是,这是一个Flask示例,我没有使用Flask,也不清楚如何获得授权码。
浏览 7提问于2020-11-20得票数 0
到目前为止,我阅读的大多数教程都是在API网关上使用@EnableOAuth2Sso而不是@EnableResourceServer。有什么不同吗?相比之下,OAuth2Sso所做的是什么呢?
详细信息:--我正在为基于春季的微服务和单页面应用程序实现安全/底层体系结构。有一段时间,虽然我们没有安全要求,但温泉浴场直接在不同的主机(CORS派对)上开放微服务。
现在,我将使用spring-oauth和spring-zuul添加一层安全性和网关模式。所以我有一个@EnableAuthorizationServer的服务(uaa-服务)和一个@EnableZuulProxy & @Enab
浏览 1提问于2017-03-21得票数 40
假设我设置了一个oidc idp,其中js浏览器客户端使用的重定向注册了一个应用程序,该应用程序检索访问令牌。
问:用户无意中在原生设备上安装了恶意应用程序,以某种方式可以伪装成浏览器,并通过应用内浏览器或类似浏览器从callbackurl中劫持信息,这是否存在潜在的安全问题?
如果是这样,是否有任何特定的安全措施可以对抗此服务器端或通过协议实现?
我觉得我缺乏关于原生设备的知识,以及原生应用程序实际上可以做什么,这可能会在oidc中出现安全问题。
(这不是关于如何通过pkce或其他措施提高本机应用程序安全性的问题,而是恶意应用程序是否可以攻击用户web浏览器中应该使用的隐式流的问题)。
浏览 3提问于2017-11-10得票数 1
请参考此视频,特别是从20:00到25:00。
他描述的工作流程是:客户端应用程序通过浏览器连接到授权端点。用户输入凭证,身份验证服务器对用户进行身份验证,并使用重定向发送授权码。客户端应用拦截浏览器活动并提取授权码。向令牌端点发出新的请求以及该认证码、客户端id和很少的其他信息。作为回报,app获得访问和刷新令牌。
是什么阻止某人在第一步(比如通过浏览器历史记录)窃取身份验证令牌,然后联系令牌端点以获取访问和刷新令牌?
浏览 1提问于2019-01-30得票数 0
2回答
我正在尝试在Android应用程序中使用Google Plus登录(具有后端支持)。
我可以从用户那里获得访问令牌和电子邮件,但我不知道如何从服务器识别这个用户。我通过SSL使用POST将此邮件(电子邮件和oauth令牌)发送到服务器
当然,我可以通过他们的电子邮件来识别他们,但这将为每个人打开大门,让他们知道数据库中有另一封电子邮件。
如何验证用户已正确通过身份验证,并为此电子邮件向我发送了正确的oauth令牌?
谢谢!
浏览 1提问于2013-05-08得票数 1
我正在尝试使用Docusign API在身份验证中构建JWT Grant flow。
我通常会收到"invalid_grant“或"invalid_request”错误。
返回带有code参数和jwt标记的重定向uri。
我所理解的是,我需要在我的服务器上创建一个JWT来进一步利用它进行身份验证,而这个JWT的结构也没有利用这个code参数。
我需要使用GUUID来获取用户的,该用户刚刚使用电子邮件地址同意了我的服务器。
然后使用该GUUID创建我们的JWT,现在可以工作了吗?
但在所有这一切中,我们没有使用在code参数中返回的JWT。
为什么它在那里它是令人困惑的?
浏览 20提问于2021-02-17得票数 0
回答已采纳
当使用Azure AD进行OAuth 2.0流程时,将重定向Oauth身份验证端点以获取身份验证令牌,在用户登录时获取重定向,然后调用令牌端点以获取通过第一步给出的身份验证码的访问令牌。
我为其执行此操作的应用程序将已经使用kerberos令牌,是否可以在不使用Azure AD执行重定向的情况下获得访问令牌?例如,OAuth端点可以接受kerberos票证吗?
根据我所读到的所有内容,这是不可能的。我只是想验证一下,因为为了更好的用户体验,不需要做重定向是很好的。
浏览 0提问于2016-10-07得票数 0
我们正计划与Azure AD集成,并已经探索了Graph API。
我们在想,如果我们可以使用基于协议的实现连接到Azure AD,就像这样。
const ldap = require('ldapjs');
const client = ldap.createClient({
url: ['ldap://127.0.0.1:1389', 'ldap://127.0.0.2:1389']
});
client.on('error', (err) => {
// handle connection error
})
浏览 9提问于2021-09-23得票数 0
我试图在用户验证后Okta返回的内容中包含“group”声明。当response_type为'id_token‘而不是response_type为'code’时,它会返回它们。对于授权代码流,我希望从userinfo端点获得组声明,但它们不在那里。然而,我读到授权码流比混合流(id_token)更安全,所以我想确保没有办法做到这一点?
我的webapp是基于ASPNETCore3构建的,并且我已经尝试过Okta.AspNetCore Nuget包。
浏览 47提问于2020-07-30得票数 0
我有一个(不是ASP.NET!)应用程序。我使用了内置的内部用户身份验证机制,这意味着使用web.config文件:
<authentication mode="Forms">
<forms loginUrl="~/Logon.aspx" name=".ASPXFORMSAUTH" timeout="180" slidingExpiration="true">
</forms>
</authentication>
<authorization&g
浏览 4提问于2020-01-20得票数 1
1回答
在MSAL浏览器中,acquireTokenSlient get在每次调用令牌终结点时都会刷新令牌。第一个刷新令牌的持续时间为1天。后续的刷新令牌都缩短了(剩余的)过期时间。在刷新令牌最终到期之后,如果存在AD会话,则在进行令牌调用之前在iframe中返回授权码。如果身份验证代码的静默检索失败,我们必须使用交互式方法调用。
现在,AD会话通常持续一天。那么,我们是不是说,由于刷新令牌已过期且AD会话已过期,用户将始终在一天后强制执行交互式登录?
或者,每个令牌调用都会继续AD会话,以便过期的刷新令牌可以通过上面提到的iframe调用静默地到来?
我需要用户能够在没有登录的情况下访问令牌,如果他
浏览 3提问于2021-03-31得票数 1
我已经使用google.android.gms.auth实现了Android Google身份验证。
在我之前使用的GoogleSignInOptions设置中,使用requestIdToken,了解这实现了OAuth2授权代码流。这意味着它应该使用在OAuth2 RFC中已知的response_type=code,基于代码,稍后将在后台进行验证。
但深入研究后,我发现还有另一种选择requestServerAuthCode,通过查看它,它更接近我认为我正在做的事情。
其中哪一项实现了OAuth2授权代码流?
谢谢!
浏览 25提问于2018-11-05得票数 0
在阅读了关于OAuth & OpenID连接的文章之后,我遇到了两个问题,我无法找到答案:
何时使用刷新令牌?我理解刷新令牌的作用,但我不确定何时只提供访问令牌,何时需要同时提供访问令牌和刷新令牌?例如,如果用户使用他的凭据(电子邮件和密码)登录到我的站点。我应该只返回访问令牌吗?如果我不希望在用户关闭站点后强制注销,答案会改变吗?另外,如果客户端应用程序有代码,应该与access_token交换,还是同时使用access_token和刷新令牌?在我看来,代码是刷新令牌的替换。
何时使用/authorize路由,何时使用/token路由?如果用户使用他的凭据登录到我的站点,我应
浏览 0提问于2019-07-29得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
