文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

使用OAuth 2.0访问谷歌的API

基本步骤 访问使用OAuth 2.0谷歌的API时,所有的应用程序都遵循一个基本模式。在高层次上,你遵循四个步骤: 1.获取的OAuth从谷歌API控制台2.0凭据。...后的应用程序获得的访问令牌时,它发送所述令牌的谷歌API在HTTP授权头。它可以发送标记为URI查询字符串参数,但我们不建议这样做,因为URI参数可以在没有完全安全的日志文件结束。...例如,如果一个访问令牌发布了Google+的API,它不授予访问谷歌联系人API。你可以,但是,发送访问令牌的Google+ API多次进行类似的操作。 4.刷新访问令牌,如果需要的话。...服务帐户 谷歌的API,如预测API和谷歌云存储可以代表你的应用程序的行为,而无需访问用户信息。在这种情况下,你的应用程序需要证明自己的身份的API,但没有用户许可是必要的。...服务帐户的凭据,您从谷歌API控制台获取,包括生成的电子邮件地址,它是独一无二的,客户端ID,以及至少一个公钥/私钥对。您可以使用客户端ID和一个私钥来创建签名JWT,构建以适当的格式的访问令牌请求。

6.4K10

业界 | 谷歌版“剑桥分析事件”上演,华尔街日报发文谴责,谷歌长文回应

据悉,这个BUG的本质是Google+ People API允许用户访问自己和朋友的个人资料数据,这无意中也允许第三方应用程序删除未被标记为公开的个人资料,包括姓名、电子邮件地址、职业和性别等。...另外,谷歌在一篇博文中称,这个BUG在2015年就已经出现了,然而直到2018年的3月份才发现,并对漏洞进行了修补。但是,这件事情,谷歌并没有告诉外界。...该错误意味着应用程序还可以访问与用户共享但未标记为公共信息的个人资料。 此数据仅限于静态可选的Google+个人资料,包括姓名,电子邮件地址,职业,性别和年龄。...我们认为,这个错误产生的原因在于API与随后Google+代码更改后产生的相互作用。 我们在设置Google+时考虑到了隐私权,因此将此API的日志数据保留了两周。...我们的分析显示,多达438个应用程序可能已使用此API。 我们没有发现任何开发人员已经意识到了这个错误或滥用了相关的API,我们发现没有任何证据表明任何配置文件数据已被滥用。

2K50
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    再次发现安全漏洞,谷歌提前关闭Google+

    在未来90天之内谷歌将关闭Google+的应用程序接口。 策划&撰写:山河 再过四个月,Google+就会永远下线了。...12月10日消息,谷歌在周一宣布,他们今年第二次发现Google+存在安全漏洞,明年4月他们将关闭这一社交媒体服务。这项决定使Google+的关闭时间提前了4个月。...谷歌表示,此前他们发现由于在11月6日对软件进行了更新,这使Google+引入了新的漏洞,导致5250万个Google+账号,包括企业用户账号的姓名、电子邮件地址、性别以及年龄等信息,可能被其他合作伙伴应用获取...但是谷歌也表示,目前其他应用还没有利用这个漏洞访问用户的数据,至少还没有证据能证明其他用户访问了用户数据。...即便没有泄露用户信息,谷歌依然做出了决定:在未来90天之内关闭Google+的应用程序接口,并在明年4月关闭这一软件。 10月,Google+第一次被曝出存在安全漏洞,50万个用户的隐私已经遭到泄露。

    52450

    UAA 概念

    UAA 可用作授权服务器,它允许客户端应用程序使用四个标准的 OAuth2 授权授予流来代表用户与资源进行交互,以获取访问令牌: Authorization code:授权码 Implicit:隐含式(...4.3. user.userName user.userName 是指向用户的用户可读字符串,通常是电子邮件地址。用户通过 UAA 进行身份验证时输入其用户名。...由于用户名可以更改,因此 UAA 提供用户 ID 作为对单个用户的不变引用。有关更多信息,请参见 user.id。 通过 UAA UI 创建帐户的用户将其电子邮件地址用作用户名。...* OIDC1.0 / OAuth2: UAA 从 OpenID Connect 和 OAuth2 提供程序的 id_token、用户信息端点或访问令牌中获取用户名。...或者,您可能正在使用 Facebook 和组织的 LDAP 系统。您可以限制 UAA 仅在用户来自某个提供商的情况下才发行应用程序令牌。

    9.6K22

    OAuth 详解 什么是 OAuth?

    OAuth 是 REST/API 的委托授权框架。它使应用程序能够在不泄露用户密码的情况下获得对用户数据的有限访问(范围)。它将身份验证与授权分离,并支持解决不同设备功能的多个用例。...它们并没有隐藏在您必须进行逆向工程的应用程序层后面。它们通常列在 API 文档中:以下是此应用程序需要的范围。 OAuth 是一种互联网规模的解决方案,因为它针对每个应用程序。...在仪表板中撤销应用程序的访问权限时,您正在终止其刷新令牌。这使您能够强制客户端轮换机密。您正在做的是使用刷新令牌获取新的访问令牌,并且访问令牌通过网络访问所有 API 资源。...您可以使用访问令牌来访问 API。一旦它过期,您将必须使用刷新令牌返回到令牌端点以获取新的访问令牌。 缺点是这会引起很多开发人员的摩擦。OAuth 对开发人员来说最大的痛点之一是您必须管理刷新令牌。...您可以输入您的电子邮件地址,然后它会动态发现您的 OIDC 提供商,动态下载元数据,动态知道它将使用什么证书,并允许 BYOI(自带身份)。它支持企业的高保证级别和关键 SAML 用例。 ?

    7.2K20

    假冒App引发的新网络钓鱼威胁

    网络钓鱼(即假的,恶意的电子邮件)常常被人鄙视。在全球聚焦于网上的“零日漏洞攻击”(zero days)、网络“武器”和“动能”网络攻击的时候,网络钓鱼电子邮件似乎是过时、几乎是二流的概念。...因此,即使企业试图阻止黑客利用OAuth特权的特定攻击——就像谷歌对5月3日谷歌文档诈骗所做的那样——并没有真正解决整体问题,而且类似的攻击可能会一次又一次地重演。...例如,在谷歌文档诈骗中,黑客将“hhhhhhhhhhhhhhhhh@mailinator.com”插入“To”字段,并且私密发送给实际收到这封电子邮件的人,这两者都是“死亡的赠品”。...接下来,检查电子邮件通知中使用的语言。有没有拼写或语法错误?看起来像不像母语非英语人士写的? 最后,app请求了多少访问权限?...合法的应用程序会请求一些访问权限,例如用户的联系人或电子邮件地址,但是如果它要求“全部访问”或帐户的管理权限(例如:“查看和管理你的电子邮件”的权限),你的心里应该响起警报。

    1.9K50

    开发中需要知道的相关知识点:什么是 OAuth?

    OAuth 是 REST/API 的委托授权框架。它使应用程序能够在不泄露用户密码的情况下获得对用户数据的有限访问(范围)。它将身份验证与授权分离,并支持解决不同设备功能的多个用例。...在仪表板中撤销应用程序的访问权限时,您正在终止其刷新令牌。这使您能够强制客户端轮换机密。您正在做的是使用刷新令牌获取新的访问令牌,并且访问令牌通过网络访问所有 API 资源。...您可以使用访问令牌来访问 API。一旦它过期,您将必须使用刷新令牌返回到令牌端点以获取新的访问令牌。 缺点是这会引起很多开发人员的摩擦。OAuth 对开发人员来说最大的痛点之一是您必须管理刷新令牌。...您可以输入您的电子邮件地址,然后它会动态发现您的 OIDC 提供商,动态下载元数据,动态知道它将使用什么证书,并允许 BYOI(自带身份)。它支持企业的高保证级别和关键 SAML 用例。...JWT ID 令牌 根据需要使用访问令牌获取其他用户属性 OAuth 2.0 总结 OAuth 2.0 是一种用于委托访问 API 的授权框架。

    2.6K40

    在Google搜索结果中显示你网站的作者信息

    如果您希望您的作者信息出现在自己所创建内容的搜索结果中,那么您需要拥有 Google+ 个人资料,并使用醒目美观的头像作为个人资料照片。...方法 1:使用经验证的电子邮件地址将您的内容与 Google+ 个人资料关联 没有与您的内容位于同一域上的电子邮件地址?请按以下方法 2 中所列的说明操作。...确保您拥有与自己的内容位于同一域(例如 wired.com)上的电子邮件地址(levy@wired.com)。...您的电子邮件地址将会显示在您的 Google+ 个人资料的以下网站的撰稿者部分。如果您不希望公开自己的电子邮件地址,可以更改链接的公开程度。...方法 2:通过将您的内容与自己的 Google+ 个人资料相关联来设置作者信息 在您的网页上创建指向您 Google+ 个人资料的链接,例如: 1 <a href="[profile_url

    4.8K10

    谷歌宣布封停Google+,50万用户信息泄露

    Project Strobe:保护用户数据、改进第三方API以及定期废止Google+ 谷歌Project Strobe声明 问题发现1:创建和维护符合消费者期望的Google+产品存在重大挑战。...解决方案1:封停Google+。 多年来,谷歌收到的反馈是,希望可以更好地了解如何控制用户在Google+上分享的数据。...虽然谷歌的工程团队多年来在构建Google+方面付出了很多心血,但它并没有广泛地被消费者或开发人员的采用,并且用户与应用程序的互动也是有限的。...目前,Google+的消费者版本使用率和参与度较低:90%的Google+用户活跃时间不到5秒。 问题发现2:用户希望它们对共享的数据进行细粒度控制。...在未来几个月内将删除对Android Contacts API的联系人互动数据的访问权限。

    1.3K40

    在遭遇第二个API漏洞后,谷歌宣布提前4个月关闭Google+消费者版本

    根据谷歌发言人的说法,这个漏洞是在内部测试之后被发现的,并没有被任何第三方利用,至少根据目前的证据是这样的。...在发现这个新的API bug之后,谷歌还决定将消费者版本Google+的关闭日期从2019年8月改为2019年4月。...谷歌此前曾宣布计划关闭Google+社交网络的消费者版本,因为该公司在10月发现了一个API漏洞,暴露了50多万用户的个人资料细节。...根据谷歌发布的一份事件报告,第二个bug位于Google+ People API端点,应用程序和开发人员用它来获取用户配置信息。...谷歌补充说,更敏感的Google+数据,如财务信息、身份证号码或密码不会受到影响。 谷歌表示,这个漏洞是在11月份的一次平台更新中引入的,在工程师发现该问题之前,它只运行了6天。

    80530

    单点登录SSO的身份账户不一致漏洞

    一些电子邮件提供商还允许用户在其主要电子邮件地址之上创建别名。这为用户提供了在不更改主地址的情况下获取另一个电子邮件地址的机会。...由于 Alice 在没有 SSO 的情况下注册了她的帐户,因此她的在线帐户持有与 SSO 令牌相同的“email”,但“sub”为空。相反,SSO 令牌包含有效但未知的用户 ID。...此外,八所大学(类型 3)允许用户在没有特定命名约定的情况下选择自己的电子邮件地址。这样的政策为学生提供了有意获得重复使用的电子邮件地址的机会。还发现一些大学(类型 6)支持别名电子邮件地址。...如果其他用户重新获取过时的电子邮件地址,这也可以防止潜在的密码恢复攻击。IdP 负责为公共和企业帐户实施安全的管理策略基线。这个基线应该是公开可用的,以便 SP 系统有一个安全和健壮的实施。...证明通过重复使用电子邮件地址,攻击者可以在多种情况下通过 SSO 身份验证破坏受害者的在线帐户。首先通过研究帐户管理策略展示了终端用户获取以前使用过的电子邮件帐户的可行性被身份提供者采用。

    2.8K31

    fastapi集成google auth登录 - plus studio

    code=${code} 请求 后端接收授权码,并使用它向 Google 请求访问令牌。 使用此令牌,后端可以从 Google 获取用户信息(如用户名、邮箱等)。 后端检查此用户是否已在数据库中。...后端生成一个会话或令牌(如 JWT),并将其发送回前端。 8. 前端接收令牌 前端接收令牌并存储在本地(如 localStorage、sessionStorage 或 cookie 中)。 9....前端使用令牌 对于后续请求,前端将此令牌附加到请求的授权头中,以验证用户身份。 10. 后端验证令牌 对于需要身份验证的后续请求,后端验证传入的令牌,以确认用户的身份。...获取google密钥 创建项目 首先前往Google Cloud Console (并创建一个新项目(如果尚未创建),然后在“API 和服务 > 仪表板”部分中启用“Google+ API”。...在最下面填上你的开发者信息,保存并继续 一路向下,可以填入一些限制,我就直接继续了。

    1.5K10

    为你的WordPress 主题添加结构化数据丰富文本摘要,高亮搜索结果(下)

    特别提醒,要查看添加后的效果,可以使用谷歌的 结构化数据测试工具 ,提示务必清楚这一点,即使测试成功,能否在搜索引擎上面显示仍然是未知数,谷歌有自己的算法判断信息是否有效。...作者相关信息,作者的G+ ? ? 这个的实现其实不是通过Schema.org 的结构化数据来的,而是谷歌为推广 Google+自行搞的一套。...实现的方法在谷歌官方的《搜索结果中的作者信息》一文有两种方法: 方法 1:使用经验证的电子邮件地址将您的内容与 Google+ 个人资料关联。...方法 2:通过将您的内容与自己的 Google+ 个人资料相关联来设置作者信息 请自行参考部署。...相关文章的部署 本文的前提是你需要按照《WordPress纯代码仿无觅相关文章图文模式功能(增强版)》一文添加相关文章功能到你的WordPress 主题。

    1.3K50

    3.基于OAuth2的认证(译)

    一个完整的认证协议可能还会告诉你一些关于此用户的相关属性,比如唯一标识符、电子邮件地址以及应用程序说“早安”时所需要的内容。...这些配方每个都添加了一些项目到OAuth中以创建身份认证协议,比如通用的profile API。可以在没有OAuth的情况下构建身份验证协议吗?当然可以,就像有很多种非巧克力软糖一样。...这意味着,如果一个Client想要确保身份认证是有效的,那么简单的使用token获取用户属性是不够的,因为OAuth保护的是资源,获取用户属性的API(identity API)通常没有办法告诉你用户是否存在...OpenId Connect是直接建立在OAuth2之上的,在大多数情况下,部署在一个基于OAuth的基础设施之上。它还使用JOSN签名和加密规范,用来在传递携带签名和加密的信息。...兼容OAuth2 即使拥有这些强大的身份认证功能,OpenId Connect(通过设计)仍然与纯粹的OAuth2兼容,使其可以在开发人员花费最小代价的情况下部署在在OAuth系统之上。

    2K100

    10 种保护 Spring Boot 应用的绝佳方法

    如果用户是普通用户,一个成功攻击可能涉及请求的状态更改,如转移资金或更改其电子邮件地址,如果用户具有提升管理员的权限,则CSRF攻击可能会危及整个应用程序。...因为它有助于识别用户,但是没有为CSRF cookie提供太多价值,因为CSRF令牌也需要在请求中。...OpenID Connect(OIDC)是一个OAuth 2.0扩展,提供用户信息,除了访问令牌之外,它还添加了ID令牌,以及/userinfo可以从中获取其他信息的端点,它还添加了发现功能和动态客户端注册的端点...你可以使用像Keycloak这样的开源系统来设置自己的OIDC服务器。如果你不想在生产中维护自己的服务器,可以使用Okta的Developer API。 7.管理密码?使用密码哈希!...对于一般的密码管理,我们建议使用SCrypt或Argon2, SCrypt现在已经过时了(已经有一段时间了),并且有一个额外的复杂因素,BCrypt没有这个因素,这使得暴力破解变得加倍地困难。

    3K40

    Spring Boot十种安全措施

    如果用户是普通用户,一个成功攻击可能涉及请求的状态更改,如转移资金或更改其电子邮件地址,如果用户具有提升管理员的权限,则CSRF攻击可能会危及整个应用程序。...因为它有助于识别用户,但是没有为CSRF cookie提供太多价值,因为CSRF令牌也需要在请求中。...OpenID Connect(OIDC)是一个OAuth 2.0扩展,提供用户信息,除了访问令牌之外,它还添加了ID令牌,以及/userinfo可以从中获取其他信息的端点,它还添加了发现功能和动态客户端注册的端点...你可以使用像Keycloak这样的开源系统来设置自己的OIDC服务器。如果你不想在生产中维护自己的服务器,可以使用Okta的Developer API。 7.管理密码?使用密码哈希!...对于一般的密码管理,我们建议使用SCrypt或Argon2, SCrypt现在已经过时了(已经有一段时间了),并且有一个额外的复杂因素,BCrypt没有这个因素,这使得暴力破解变得加倍地困难。

    3.5K10

    API NEWS | Booking.com爆出API漏洞

    攻击者只要向使用Google身份验证的http://Booking.com用户发送恶意连接,由于受害者电子邮件地址相同,http://Booking.com便会自动关联拥有相同电子邮件的账户允许登录。...虽然OAuth2(或其他标准机制)可以增加API安全性,但实现起来可能会很复杂。因此,这提醒API开发人员必须小心谨慎,提高安全意识,确保使用OAuth2时必须正确配置。...在黑客技术越来越多的运用于以获取经济利益为目标的情况下时,MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。...举例:某个API没有对输入参数进行过滤和转义,攻击者可以通过输入构造性负载数据,修改SQL查询语句,从而跨越数据库查询获取敏感数据。...日志监控:确保对API的操作日志进行记录、分析和监控,以便及时发现异常操作和安全事件。举例:某个API没有记录日志,攻击者可以在未被检测到的情况下进行多次恶意请求,导致服务器崩溃或数据泄露。

    73930

    Identity Server4学习系列一

    当然你可以给每个接口约定用户名和密码两个参数,然后给API的调用者分配一个账号密码,让Api在我们控制范围内的接受调用,但是没人会去这么干,而且会存在安全隐患,比如抓包等等,而且系统这么设计也不够优雅,...(3)、OAuth 2.0认证 OAuth2是一种协议,允许应用程序从安全令牌服务请求访问令牌,并使用它们与API通信。...Resources:资源 资源是你希望使用Identity保护的资源,一般有两种:一是用户数据、二是Api资源 Identity Data:Identity数据 关于用户的身份数据标识信息,例如姓名或电子邮件地址等用户信息...Access Token:访问令牌 访问令牌允许访问API资源。客户端请求访问令牌并将它们转发给API。访问令牌包含有关客户端和用户的信息(如果存在的话)。API使用该信息来授权对其数据的访问。...4、Identity Server4能干的事 当然Indentity能干的事不只是在遵循安全协议的情况下,发送安全令牌这么简单(当然也不简单!).

    1.3K30
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券