在用户密码更改时使IdentityServer会话和访问令牌无效
在用户密码更改时,需要使IdentityServer会话和访问令牌无效,以确保安全性和保护用户信息。以下是一个完善且全面的答案:
IdentityServer是一个开源的认证和授权服务器,用于构建安全的单点登录和API访问控制解决方案。它通过发放令牌来实现身份验证和授权,这些令牌可以用于访问受保护的资源。
在用户密码更改时,需要采取以下步骤使IdentityServer会话和访问令牌无效:
- 更新用户密码:首先,用户密码应被更新,可以通过使用安全的加密算法对新密码进行哈希处理来确保密码安全性。
- 使会话无效:一旦用户密码更新成功,所有与该用户关联的会话应该被立即使无效。这可以通过在服务器端维护一个会话列表,当用户密码更改时,遍历列表并将相关会话标记为无效来实现。
- 使访问令牌无效:同时,所有与该用户关联的访问令牌也应该被使无效。访问令牌是用于访问受保护资源的凭证,因此在密码更改后,访问令牌应该立即无效化。可以通过将访问令牌存储在持久化的存储介质中,并在验证令牌时检查其有效性来实现。
- 强制重新身份验证:一旦会话和访问令牌被使无效,用户应被迫重新进行身份验证。这可以通过重定向用户到身份验证页面,并要求他们提供新的凭证来实现。
总结: 在用户密码更改时,为了保证安全性,需要使IdentityServer会话和访问令牌无效。这可以通过更新用户密码、使会话无效、使访问令牌无效和强制重新身份验证来实现。
推荐的腾讯云相关产品:腾讯云身份认证(Tencent Cloud Authentication,TCA)是腾讯云提供的全球部署的身份认证服务,提供了基于标准协议(OAuth 2.0、OpenID Connect)的身份认证和授权功能,可用于构建安全的单点登录和API访问控制解决方案。
产品介绍链接地址:腾讯云身份认证
相关·内容
2回答
总结问题
有哪些参数支持或反对在会话中保存密码散列?
想法
登录时将密码哈希(如DB中的密码)存储在会话中,并根据每次访问中的DB哈希验证它,以便在密码更改时自动使所有会话无效。
我的思想
到目前为止,这些都是我对这个问题的想法。
专业人士
假设两个人合法地共享一个帐户,它将(大部分)防止两个人在登录时都更改密码。混乱只会发生一次,而不是两次。
假设有恶意攻击,如果检测到足够早,合法用户可能会将攻击者逐出。
圆锥体
如果person A在person B更改密码后立即提交表单,则可能出现数据丢失。
假设有恶意攻击,攻击者可以驱逐合法用户。
中性
没有真正的性
浏览 0提问于2015-05-28得票数 0
回答已采纳
我一直在阅读IdentityServer4的快速入门,对于如何实现SPA的隐式流仍然有一些疑问。 我的设置如下: IdentityServer4作为令牌服务器需要保护(使用WebAPICore)使用Angular的SPA 我的问题很简单:用户输入用户名和密码的登录屏幕是由IdentityServer提供的,还是Angular应用程序提供的?如果我们要使用IdentityServer提供的登录窗口,最佳实践是直接重定向到该窗口,还是应该将其显示在Angular应用程序的iframe中?
浏览 14提问于2019-03-06得票数 1
我正在使用IdentityServer4和Xamarin Android的资源所有者密码。 是否有可能在登录用户的会话超时时收到通知。从而可以再次向用户提示登录表单。 https://github.com/IdentityServer/IdentityServer4.Samples https://github.com/IdentityModel/IdentityModel.OidcClient.Samples
浏览 28提问于2019-02-13得票数 0
回答已采纳
我想知道在更改密码/注销时使JWT无效而不点击db的最佳实践。
我有下面的想法,通过命中用户数据库来处理上述两种情况。
1.在密码更改的情况下,我检查存储在用户db中的密码(散列)。
2.在注销的情况下,我将最后一次注销时间保存在用户db中,因此,通过比较令牌创建时间和注销时间,我可以使这种情况无效。
但这两种情况的代价是每次用户点击api时都会命中用户db。任何最佳实践都是值得赞赏的。
更新:我认为我们不能在不点击db的情况下使JWT无效。所以我想出了一个解决方案。我已经发布了我的答案,如果你有任何问题,欢迎你。
浏览 70提问于2015-02-27得票数 78
回答已采纳
我有一个页面应用程序,它由IdentityServer4引用令牌保护。
我期望用户从多台计算机/设备登录。
在应用程序的设置区域,用户可以更改他们的密码。为此,必须输入当前密码和新密码。
我也希望用户可以选择“注销所有其他设备和计算机”。
如果用户选中此选项,我希望使该客户端和该用户存在的任何其他引用令牌无效,但我不希望使用户当前使用的引用令牌失效。
我只想让它注销其他设备和电脑。用户应该继续登录到他们正在使用的计算机上。
为了我的生命,我看不出用IdentityServer4做这件事的方法。我在想,我可以简单地在PersistedGrants表上运行一个delete,但是我无法知道这个表中的
浏览 7提问于2021-04-01得票数 2
回答已采纳
4回答
因此,我理解在身份验证等状态更改后重新生成会话ID的目的,即防止会话固定。我不清楚的是,为什么在密码更改(根据OWASP的建议)之后这是必要的。
如果攻击者劫持了受害者的会话cookie,是的,是的,sessionID会将攻击者踢出,但为什么要在更改密码时专门这样做呢?是否因为有一个假设,如果用户正在更改他们的密码,他们可能怀疑他们的帐户已经被破坏?否则,密码更改似乎是重新生成sessionID的任意时间。
如果攻击者窃取了受害者的密码:攻击者将有自己的会话。密码更改后重新生成sessionID不会影响攻击者的会话,对吗?(关于这一点-当前的最佳做法是在密码更改后使所有会话无效吗?)我似乎在这
浏览 0提问于2022-12-02得票数 3
我已经创建了AccessToken (JWT令牌),我想在重置密码/更改密码时使该令牌无效(即:旧的accessToken应该是无效的,新的应该是有效的)
浏览 121提问于2018-06-06得票数 3
所以,我有一个表单,为了使它更安全,并潜在地帮助防止CSRF攻击,我想在隐藏字段中添加一个随机令牌值,该值也存储在我的会话数据中的服务器端。
我应该在什么时候发行新的令牌?每个表单?每页加载哪里有任何表单?每个会话?我可以在表单成功提交后立即使其无效,但我想知道何时生成一个表单。
我问,如果我是按表单还是按页面发布它,如果用户打开一个单独的窗口但提交了第一个表单(具有现在被覆盖的值),我是否不会冒着重复令牌值覆盖现有(有效)令牌的风险?
浏览 0提问于2010-06-04得票数 3
我正在创建带有IdentityServer4标识的ASP.NET,用于响应SPA和具有基于策略的授权的ASP.NET Core。
所以基本上我到现在为止所做的事,
在成功的Google登录上,SPA SPA将有“向Google登录”(“SPA Google- login”lib)。
收到"tokenObj“的回复,其中包含、IdToken、和其他内容
POST请求,使用IdentityServer4 Id令牌和一些额外的索赔字段,从的SPA到端点
使用Google库方法Google.Apis.Auth.GoogleJsonWebSignature.ValidateAs
浏览 16提问于2020-08-10得票数 0
回答已采纳
我们有几个用户,我们可能与其他用户共享他们的用户帐户。我们正在考虑在IdentityServer4中添加功能,这限制了用户为防止这种行为而必须进行的并发会话的数量。
这不会阻止用户在白天不时地共享用户帐户,但我们至少能够停止系统的并发使用。
我们正在考虑计算每个用户帐户使用的刷新令牌的数量,如果它们超过某个限制,则删除该用户的最旧的刷新令牌和访问令牌,直到刷新令牌的数量等于允许的限制为止。
有关于如何使用IdentityServer4实现此功能的任何输入吗?我们还想通知用户,为什么删除引用令牌,从而导致注销。
浏览 4提问于2017-11-30得票数 5
1回答
我们有一个基于Asp.Net的web应用程序,然后我们有基于.net核心构建的IdentityServer4应用程序。 我们有移动应用程序作为客户端的IdentityServer4登录,它的授权存储在SQL数据库。 我遇到的问题是,当我作为管理员更改/重置web应用程序的密码时,移动应用程序仍然可以访问,因为refresh_token仍然有效,因为我们已经为其设置了滑动过期。我想要的是当管理员重置任何用户的密码时撤销refresh_token,我找不到在asp.net应用程序中这样做的方法,我已经使用了下面的文档,但这对我来说没有用,因为我相信这将是有帮助的,只有当我们想要撤销登录用户的授权
浏览 44提问于2021-04-08得票数 0
我正在使用ASP.NET Core2.2中的IdentityServer4。客户端应用程序(RP)是一个应用程序接口,也是一个ASP.NET核心2.2应用程序。用户使用授权码流登录,并从IdentityServer (idsrv)获取cookie。然后,他们获得API (RP)的授权码和访问令牌。 我希望能够在某些情况下撤销用户现有的登录会话和访问令牌,例如,如果他们的密码已被重置。在IdentityServer中,我添加了自己的身份验证方案: .AddCookie("MyAuthenticationScheme", options =>
浏览 21提问于2019-05-30得票数 1
如何从外部(从不同用户的会话)为用户触发(完全)注销?
例如,一个"Admin“登录并签出用户"JohnDoe”(从IdentityServer和所有客户端)。
IdentityServer支持在用户注销时(通过前通道或后通道)通知客户端。这很好,但是如何从用户会话之外开始滚动呢?
浏览 6提问于2020-06-10得票数 0
我已经阅读了Tomcat保护文件,据我理解,入口点必须是不执行安全功能的页面。
据我所知,当使用时,任何一个入口点都是当前会话中nonce的一部分。
但是,根据OWASP前10条建议,当用户登录并生成新会话时,我将使会话无效。
我发现的问题是,当这样做时,如果用户单击一个只有登录一次才可用的链接,例如,更改密码(它不构成入口点的一部分)--由于新的会话,返回403。
如果用户首先单击其中一个入口点urls,则可以单击更改密码链接并访问该页,因为已经创建了一个新的nonce,并且更改密码链接将由该链接覆盖,但是如果欢迎页具有用户需要使用的其他链接,则无法使用后退按钮并单击该链接,因为nonce并
浏览 1提问于2017-11-04得票数 1
回答已采纳
1回答
我已经站了一个identityserver4实例、一个API项目和一个UI。
工作流程如下:
用户访问UI。
用户向用户界面提供用户名和密码。
UI向web应用程序的后端发送凭据,该应用程序使用密码授权使用IdentityServer4对用户进行身份验证。
IdentityServer4返回一个令牌。
令牌用于标识用户对UI的身份,以及用户可以访问站点的某些部分。
当用户需要在站点内做一些事情时,令牌通过承载器传递给API。
密码授予是不可商量的,因为这是一个第三方应用程序,它是没有意义的重新引导用户离开主站点。
有什么合适的中间件可用于此?我应该只使用Cook
浏览 4提问于2016-10-17得票数 2
我想知道在更改密码/注销时在不访问db的情况下使JWT失效的最佳实践。
我下面的想法是通过访问用户数据库来处理以上两个案例。1.在密码更改的情况下,我检查存储在用户db 2中的密码(散列)。在注销的情况下,我将最后注销时间保存在用户db中,因此,通过比较令牌创建时间和注销时间,可以使这种情况无效。
但是,这2种情况是以每次用户访问api时访问用户db为代价的。任何最好的练习都会受到赞赏。
浏览 0提问于2015-02-27得票数 8
我正在尝试以下流程:
使HttpSession失效
负载平衡器将用户重定向到服务器。
用户应该已经登录,而不管他们被发送到哪个服务器。
备注:
启用了粘性会话,但会话何时无效不重要。有一些规则可以在一定时间后将用户注销,但我需要确保在调用某个使会话无效的方法时,用户保持登录状态。
服务器不是群集的,因此没有服务器知道其他服务器。在当前环境中也不可能实现Redis或类似的功能。
服务器为JBoss 7(EAP6.1)
我被困在逻辑流中,除了用httpSession.invalidate()无效之外,我似乎找不到做过这份工作的人。
浏览 0提问于2018-03-05得票数 0
1回答
我有一个API项目和一个运行IdentityServer4的单独项目。第三方应用程序登录到IdentityServer4并接收访问令牌。使用令牌第三方应用程序调用API项目。现在第三方应用程序希望API资源(api/ user / change )能够通过提供用户名、当前密码和新密码来更改用户的密码。如何从API项目更新/更改用户密码?
浏览 1提问于2020-02-03得票数 0
回答已采纳
2回答
JWT刷新和访问令牌
、、、
我在我的项目中使用jwt令牌。长寿命刷新令牌,用于对受保护资源的身份验证和短期访问令牌。刷新令牌保存在仅限http的cookie中,以降低xss攻击的风险。访问令牌将只存储在我的前端的vuex存储中。如果用户更改密码,我应该更新刷新令牌吗?我不将刷新令牌存储在数据库中,因为正如我所理解的那样,jwts的主要目的是我可以使用加密技术来验证传入的刷新令牌,而不必在数据库中查找它(然后我就根本不用使用jwts了)。
但是,如何使已经发送的刷新令牌无效(例如在其他设备或浏览器上)?如果我不使用数据库来存储刷新令牌,那么只要过期时间,令牌就会有效。我很感激你的建议。
浏览 3提问于2021-10-29得票数 0
回答已采纳
我们有两个客户到我们的STS (Identityserver4)。
ClientA (SPA)使用资源所有者流(在SPA中输入用户/密码)
使用隐式流的ClientB (MVC) (使用Identityserver登录)
问题:我们如何在ClientA和ClientB之间实现SSO?
当从ClientA重定向到ClientB时,我们可以使用来自ClientA的accesstoken进行单点登录吗?从ClientB到ClientA怎么样?我们应该避免在ClientB上使用cookie auth吗?
浏览 0提问于2017-11-28得票数 0
我正试图在用户拥有的页面上为publisher设置一个应用程序。
1)我请求允许使用带有manage_pages、publish_stream范围的js
2) $fb->api('/'.$fb->getUser().'/accounts','GET',数组(‘access_token’=> $token)
3)在线程MarcusJoe中通过方法得到令牌
4)将页面access_token存储在db中
5)在页面上发布$fb->api('/'.$pageId.'/feed‘、' post’、a
浏览 1提问于2012-04-26得票数 1
我们正在使用IdentityServer4,并且在使用刷新令牌时遇到了问题。
这是我的客户吐露:格兰特类型: client_credentials混合
访问令牌生存期:60
900标识令牌生存期:
240绝对刷新令牌生存期:
60 滑动刷新令牌生存期
OneTimeOnly 刷新令牌的使用
刷新令牌到期:
我正在检查访问令牌的生命时间,当它即将过期时,我使用刷新令牌来获得新的访问令牌。240秒后,访问令牌的生命周期没有扩展,我的客户端转到Identity Server,它为我的客户端发出新的令牌集。
我希望我的用户在过期后输入用户名/密码,刷新令牌购买标识服务器发出
浏览 2提问于2019-10-28得票数 1
1回答
JWT令牌的设计
、、、、
我看到人们通过将用户的密码、上次注销时间和共享秘密以某种方式组合在一起来实现无效的JWT令牌,并将其作为用户的JWT秘密使用。这样,更改密码或注销将有效地使所有现有令牌无效。
我的问题是
这是一个合理/好的设计吗?
如果是的话,我应该如何将这三个值合并到新的秘密中,以确保没有什么不好的事情发生(我对密码学完全陌生)?
浏览 2提问于2016-03-10得票数 0
回答已采纳
是否有一种方法可以为客户端执行单点退出(仅针对使用IdentityServer4的)?使用IdentityServer端点为客户端和endsession执行单点签出没有问题。然而,我想做的是提供一种方法,强制所有客户在下一次请求时重新进行身份验证(以获得新的声明),但不强制用户重新输入凭据。
用例是用户编辑存储在索赔中的配置文件信息。比如他们的名字。当用户提交对此信息的更改时,需要让所有其他客户端知道他们当前拥有的声明不再有效。这可以通过完全签出用户来实现,但是用户必须重新输入他们的id和密码。
看一下流程,我想我要做的是直接执行内部EndSessionCallbackEndpoint,而不删
浏览 3提问于2019-07-08得票数 2
回答已采纳
创建重置密码令牌时,IdentityServer将出现无效的令牌错误。身份服务器运行2个实例。如果在不同的实例中创建了重置密码令牌,则我得到的错误是无效令牌。
.AddSigningCredential(new Microsoft.IdentityModel.Tokens.SigningCredentials(rsa.GetKey(rsaKeyJson), RsaSigningAlgorithm.RS512.ToString()));
我为数据库编写了rsaKeyJson,因此每个实例都使用相同的rsaKey。
我不确定我的问题是不是与SigninCredentials
浏览 8提问于2022-08-05得票数 0
我使用Asp.net Core2.1中的IdentityServer4托管授权服务器。
我的客户机的grant_type是ResourceOwnerPassword,所以我实现了IResourceOwnerPasswordValidator。当用户A使用正确的用户名和密码登录并获得access_token(名为token1)时工作正常,几分钟后,他使用相同的用户名和密码再次登录并获得新的access_token(名为token2),当用户获得token2时如何使token1无效。
浏览 3提问于2018-08-09得票数 1
我使用IdentityServer4(OIDCCore3.1)进行身份验证(.NET协议)。但是过期会话的过去会话id可以用来在应用程序中获得身份验证,因此我的应用程序容易受到会话重放/会话Hjijacking/中间人攻击。 请分享一些此漏洞的解决方案。
浏览 28提问于2021-09-06得票数 0
2回答
使JWT在权限上无效
、、、、
人们通常在JWT中存储权限吗?我见过可能有admin: true或scopes: ['add_foo', 'delete_foo', 'read_foo']的例子。这似乎还不错,如果有大量的权限/作用域,JWT可能会变得很大。它看起来非常有用,因为只要能够验证JWT,就不需要访问DB或缓存来获得用户权限。
不过,我的主要问题是,在发生权限更改时,这些参数将如何失效。
例如,sys admin Joe撤销用户Bob的'add_foo‘和'delete_foo’权限,但保留'read_foo‘权限。在这个场景中,用户Bob不应
浏览 2提问于2017-03-07得票数 0
我们所处的情况是,我们自己开发的单页面应用程序(AngularJS前端,后端带有https服务器API )在新的浏览器选项卡中打开由我们的合作伙伴开发的另一个web应用程序,并且这第二个web应用程序需要访问同样由我们开发的https服务器API。
在四处寻找可能的解决方案之后,我们现在已经使用IdentityServer4创建了一个概念证明,其中第二个web应用程序被配置为具有"authorization_code“授权类型的客户端。当所有应用程序都在同一个域上运行时,第三方应用程序能够访问我们的https服务器API,而无需提示输入用户id和密码。
此概念验证中的第二个web应用程
浏览 0提问于2018-08-17得票数 0
3回答
基本认证是正确的选择吗?
、、、
我一直在使用Dropwizard为我的webapp应用程序开发一个RESTful后端。现在,开发前端,我需要登录用户。我一直在使用@Auth注释,例如:
@POST
public void createEvent(@Auth User user, @FormParam("startTime") @NotNull @Min(0) Long startTime,
@FormParam("endTime") @NotNull @Min(0) Long endTime) {
validateEvent(startT
浏览 2提问于2016-11-03得票数 1
回答已采纳
1回答
在中指出:
但是,一旦您在使用signInWithCustomToken()中对用户进行签名,它们将一直被登录到设备中,直到会话失效、失效或用户退出为止。
那么,Firebase在哪些条件下声明会话无效?
浏览 2提问于2017-06-01得票数 2
回答已采纳
目前,我正在使用Microsoft的这个库将我的应用程序与Azure AD集成:
https://github.com/AzureAD/azure-activedirectory-library-for-js
我的应用程序有自己的用户身份验证。应用程序只存储用户名,并使用它来映射来自Azure的用户名。我使用OAuth隐式授予和id_token登录用户。
下面是我正在实现的身份验证流程:
用户单击登录。
应用程序重定向用户到微软登录页面。
用户输入他们的用户名/密码。
Microsoft登录页将用户重定向到我的应用程序中的azure登录处理页面。
应用程序的后端代码使用C#
浏览 0提问于2018-06-11得票数 0
回答已采纳
1回答
我已经创建了一个自定义操作,我希望允许用户发布到他们的时间表,例如{用户}阅读{文章}。当我像这样使用示例URL发布帖子时,我可以让它工作得很好:
FB.api('/me/fbsite:actionname' +
'?object=http://samples.ogp.me/356694057772404&access_token=abc','post'
但是,当我将示例URL替换为我自己的URL时,我得到了错误消息“使用API调用显式地使会话无效”。有人能给点建议吗?
编辑:将我的Javascript改成这样,但我现在得到的是
浏览 0提问于2013-03-11得票数 1
1回答
火基会话失效
、、、
我在应用程序和服务器中使用自定义令牌进行身份验证。旧的Firebase有一个选项来为其所有令牌配置会话过期时间,因此当会话到期时,客户端必须从服务器请求一个新令牌,从而每次都创建令牌再生周期。
我希望与新的Firebase auth系统具有相同的功能。
声明令牌到期参数仅适用于令牌本身,并且用户一直登录直到他登录或会话无效为止。
如何使会话无效以触发onAuthStateChanged事件,以便我可以向服务器请求一个新的令牌?
此外,onAuthStateChanged事件究竟是什么时候触发的?我从来没有执行过这个回调。
Note
Android中的方法有一个强制刷新令牌的选项
浏览 2提问于2016-07-11得票数 3
我必须开发一个单点登录系统,我必须使用IdentityServer4来完成它。我已经看过了文档和例子,但我有一些疑问。老实说,我不太明白,但我在Oauth2和OpenId连接方面真的很新。
我们将有一群客户端(网络应用),每个客户端都有自己的网络APi。我们必须为所有这些提供一个集中的Login应用程序。我认为javascript客户端的例子就是我们想要达到的目标。此外,用户可能拥有访问一个客户端(App)的权限,而不是另一个客户端(app),因此IdentityServer必须提供有关客户端(应用程序)的信息,特别是用户可以访问的信息。
所以,这些是我不明白的:
1.-在我可以阅读的文档中,
浏览 1提问于2017-07-10得票数 2
回答已采纳
1回答
我们正试图与另一个部门集成,我们每个人都有一个IdentityServer实例。
他们希望通过从他们的access_tokens实例IdentityServer生成的API来使用我们的API。
(我们的IdentityServer和API):
IdentityServer A<-> API-A
(他们的IdentityServer和API):
IdentityServer B-(生成access_tokens)->网站-B-> API-A
当我运行以上场景时
IdentityServer A记录此错误
IdentityServer4.Validation.TokenV
浏览 6提问于2020-10-30得票数 0
我试图把一个网站,使用JWTs登录。我的问题是,我不明白一个网站应该如何使用JWTs。
其想法是将我的整体架构分解为:
一个用于身份验证和发出JWT的IdentityServer。
一个ApplicationServer API,其端点受基于JWT的角色的保护。
前端应用程序和网站从IdentityServer请求JWT,并使用它们访问ApplicationServer上的数据。
这将允许我在许多项目中使用一个IdentityServer,并可能将前端开发扩展到第三方,并允许我集中讨论应用程序API的细节。
我已经建好了IdentityServer。它可以使用用户名/密码,
浏览 1提问于2017-08-02得票数 3
使用IdentityServer4时,我每次需要允许一个用户会话。如果用户先使用设备A进行身份验证,然后使用B进行身份验证,则必须使A的会话和访问令牌无效,更好的是,客户端A可以接收到用户已在第二个step.The中注销的通知。还有类似的问题,其中一个将我们重定向到以下链接: https://github.com/IdentityServer/IdentityServer4/issues/736 其中解释了使用反向信道注销以及在身份服务器的登录方法中来获得应该在某处持久存在的先前的IdentityServer sessionID。然后,我应该向所有客户端发送注销令牌。 这里给出了另一个解决方
浏览 12提问于2021-06-17得票数 0
1回答
在我的应用程序中,客户端通过SSLSocket连接到服务器。为了进行身份验证,服务器发送salt,客户端发送用给定salt加密的密码。
实际上,我不希望用户每次输入他的密码,但另一方面,我不想有安全问题。
我读过关于密钥商店的文章,但它们安全吗?另外,据我所知,用户仍然需要输入密码。
什么是安全和用户舒适的解决方案?
浏览 1提问于2020-04-08得票数 1
回答已采纳
这是我目前的设置:
IdentityServer4
API (承担者认证)
SPA页面(oidc-客户端隐式流重定向到IdentityServer4快速启动UI)
本机应用程序(编写的i C#)
本机应用程序已经具有用户凭据。我想提供一个从本机应用程序到SPA页面的网页链接,但我不想强迫用户在导航到web时再次登录。相反,我想将他们当前的会话移到网页上。
是否有可能将访问令牌“注入”到oidc客户端?(使用url片段)。或者还有其他的流程或方法来完成这一工作?
浏览 0提问于2019-03-21得票数 1
回答已采纳
3回答
我试图通过在Laravel5.5中使用md5加密方法检查登录用户用户名中生成的令牌来执行api-auth,并且不想将令牌保存到用户的表中。当用户注销令牌时,令牌将无效。URL将如下所示:
......
我该怎么做?
补充-这是来自第44届世界技能竞赛的测试项目,以下是测试项目文档中的测试项目:
身份验证
a.登录(v1/auth/登录)
描述:客户端可以通过用户名和密码获得登录令牌。
请求方法: POST
标头:标头授权basic
请求参数:
正文:
O用户名
O密码
答复结果:
如果成功了,
标题:响应状态: 200
无身体:
令牌:授权令牌(在
浏览 4提问于2017-12-14得票数 1
1回答
我正在开发IdghtyServer4. working,它是在github 上开发的。
首先,我简单地创建了一个新用户并设置了密码,然后创建了名为ApiResource Api_Name的新用户。然后,我创建了同名为IdentityResource的Api_Name。最后,我创建了名为Api_Client的新客户端,并将客户端允许Scopes设置为Api_Name,并允许格兰特类型为密码,最后将客户端机密设置为 secret
现在,我创建了新的WebApi项目(Core2.1),并在启动类中使用它
public void ConfigureServices(IServiceCollectio
浏览 0提问于2019-01-14得票数 4
回答已采纳
目前,我们正在构建一个基于web的应用程序,我们有web服务器和应用程序服务器托管我们的资源。此外,我们将使用Mule ESB来使用任何web服务或api。我们将有Alfresco DMS解决方案,我们将通过Mule ESB使用alfresco服务。
我们正在研究如何在这种情况下实现SSO方法。我们已经有了用于身份联合的IdentityServer4。它为客户端颁发访问令牌,只要用户在Mule ESB端,我们就需要对用户进行身份验证,而不需要再次询问用户凭据。根据我的研究,可以在Mule ESB上添加外部身份提供。我们没有做的是,在用户登录应用服务器时发布的访问令牌是否可以传递给Mule ES
浏览 1提问于2018-11-09得票数 1
1回答
我研究过OAuth2和OpenId连接协议来保护资源,但是有些东西感觉不对。
如何允许简单和直接地访问受IdentityServer4保护的API?
用例:用户需要直接使用我的REST,不涉及浏览器(例如,通过Postman)。
就这么简单:
用户向身份提供者发送一个带有用户名和密码的请求,以生成访问令牌.
他使用该访问令牌(作为承载)并使用API.。
但是,在此过程中也存在一些复杂的问题,比如向身份提供者提供客户端秘密和作用域以生成令牌(用户只应该关注他的用户名和密码,而不是范围等的概念)。也许OAuth2/OpenId连接不是适合这项工作的工具吗?
浏览 3提问于2022-03-07得票数 0
我想做的是在用户更改/重置密码时(使用核心标识)结束用户的所有会话。我正在使用SPA内部的oidc客户端js库。我已经知道如何结束用户的当前会话,并使同一会话中的任何选项卡(例如,同一浏览器窗口中的其他选项卡)通过check会话iFrame来识别会话,但任何其他会话(例如在匿名窗口中)似乎仍然具有会话功能,即使它们的刷新令牌/该主题ID的所有持久化授权都已被撤销。
是否有办法使iFrame返回到所有会话的会话已经结束的客户端,比如iFrame页面正在检查该会话的持久化授权或其他什么?如果当前发布的access_token继续工作(它们是短暂的),我还好,但是只希望刷新令牌无效,会话结束。
浏览 3提问于2020-08-31得票数 0
我们正在使用ADAL库在移动应用程序中实现azure AD。在这种情况下:
用户已登录到应用程序,并且拥有有效的访问和刷新令牌。用户没有注销,并且从另一个应用程序,比如outlook,用户多次输入错误的密码,导致帐户被锁定。发布后,返回到应用程序,我们发现访问和刷新令牌仍然有效,用户可以执行所有违反安全的操作。理想情况下,当用户的帐户被锁定时,它应该使访问无效并刷新令牌。如何让它正常工作。
浏览 0提问于2017-10-09得票数 1
2回答
以下身份验证系统是否合理:
客户端使用用户名和密码将登录端点调用到主服务器。主服务器将其发送到另一个身份验证服务器(不会再被提及),如果这是有效的,则返回是/否,并返回主服务器知道的用户ID。如果是的话,生成一个随机令牌(使用一些释放随机字符串的密码库),并将其哈希(使用password_hash())存储在用户记录上。将令牌返回给客户端。
客户端现在将“授权:令牌TOKEN+HERE+ABCD1234”添加到其他端点的请求中。服务器确保auth报头中令牌的散列与数据库中的标记(通过PHP的password_verify()使用盐类)匹配,并且没有命中到期日期。如果它不匹配,或者超过了
浏览 4提问于2015-06-16得票数 3
回答已采纳
我在我的MVC5应用程序中实现了ASP.net Identity 2.1.0身份验证。我正在寻找一种方法,只允许一个连接在同一时间每个用户名/密码组合。例如,如果某个用户名为A、密码为B的用户进行连接,直到他们断开连接为止,任何尝试以A身份、密码为B的用户进行连接的用户都将被拒绝,并显示一条类似于“有使用该信息登录的活动用户!”的消息。我尝试过使用CookieAuthenticationProvider.OnValidateIdentity和CookieAuthenticationProvider.OnResponseSignIn,但我不知道如何检测活动用户的会话。
我发现有一些类似的东西,但
浏览 2提问于2015-03-14得票数 1
我的应用服务器使用JWT身份验证,我的前端是React (但在这个问题中最好是Angular )。
用户第一次登录时,应用程序交换用户提供的username+password,并获得一个JWT令牌,以便向应用程序服务器发出内部应用程序接口请求。
从用户体验来看,我真的希望用户不必在每次进入"myapp.com“时都输入他们的username+password。但这又带来了另一个问题。出于安全目的,JWT密钥通常是短暂的,必须使用旧的JWT (短时间)更新,或者在密钥的“生命周期”结束后使用新的username+password更新,并且不允许更多的更新。
在这种情况下,维护一个没有麻烦
浏览 9提问于2017-06-22得票数 0
回答已采纳
在这种情况下,我在数据库"users“和"posts”中有两个表。第一个表扩展了基本的用户数据(id、名、姓、用户名、邮件、密码等)第二个是关于帖子(id,标题,文本,作者等)
因此,当用户创建帖子时,他需要填写标题字段和文本字段,作者字段应填充直接从会话中提取的用户名,并将其存储到数据库中。
浏览 7提问于2016-09-23得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
