我正在写一个使用金字塔框架的小webapp。对于身份验证,我使用云基础设施的一个服务,它为我提供了一个javascript web令牌,我可以用它来验证用户的身份。我有点不确定如何将其与金字塔相结合,特别是因为我发现的大多数示例要么是基于用户名-密码的身份验证框架,要么是它们自己生成JWT令牌(我只是通过身份提供者使用这些令牌)。无论如何,在登录视图中,我目前有一个类似这样的逻辑:
.....用户访问下一个视图时,用户id是从cook
浏览 14提问于2020-02-06得票数 1
回答已采纳
我有一个Microsoft应用程序,它使用微软的ASP.net中间件(Microsoft.Owin.Security.OpenIdConnect)来配置OpenID连接身份验证。我的身份提供者(Okta)被配置为支持刷新令牌,并且我已经确认它正在工作。登录时,我的应用程序将收到预期的访问、ID和刷新令牌。这些令牌在名为".AspNet.Cookies“的cookie中被验证并返回给客户端(默认值)。在每个请
浏览 2提问于2020-07-20得票数 1
1回答
据我所知,ID令牌如下所示: { "sub": "authentication", "family_name": "haghighatgoo", "birthdate": &
浏览 9提问于2020-01-16得票数 4
我的web项目被开发为两个应用程序: i) Node.js中的后端应用程序ii) Angular.js中的前端应用程序
有没有可能在项目中实现两个单点登录,或者需要将后端和前端合并为单一应用程序。据我所知,如果有两个独立的应用程序,那么它们就有独立的用户会话和状态。因此,在我的方案中,前端登录可能不会使用单点登录与后端链接。
浏览 0提问于2018-06-26得票数 5
changeId getStartPageToken GET /changes/startPageToken在其他一些公共app设计中,开发人员需要注册开发人员帐户并获得应用程序密钥和密钥。这是哪种类型的身份验证?
其中哪一个更适合我的用例?
浏览 2提问于2018-06-29得票数 0
2回答
openID用例
、、
我对openID的用例有点困惑。1)。如果应该,那么使用openID和使用OAuth (将范围设置为"profile")获取用户信息,然后为用户创建帐户有什么区别。(稍后登录时可以使用profile/id令牌中的唯一密钥来查找数据库中的用户)
2)。如果不应该,那么如果用户注销,然后再次使用openID登
浏览 4提问于2021-12-10得票数 2
app A重定向到auth getToken api以获得一个使用IBM的自定义jwt令牌,这是一个受保护的AppId,因此在调用getToken之前,它会自动重定向到appId以验证用户。在appId成功使用auth之后,可以在cookie中设置自定义令牌,并将请求重定向回auth。现在,我的实现使用了cookie。过滤器中的应用程序A试图找到所需的cookie,如果找不到,则使用resp.sendredirect重定向到auth。
浏览 1提问于2020-09-14得票数 1
1回答
我正在编写一个Windows 8 Metro应用程序(客户机-服务器),并希望允许我的用户使用他们现有的帐户(Windows、Google、Facebook、Yahoo、.)登录。目前,我在客户机上使用OAuth 2.0检索一段代码,该代码可以在服务器端用于从提供程序获取访问令牌,并读取有关帐户的基本信息。所以我的问题是:
是否仅使用OAuth来委托身份<e
浏览 1提问于2012-03-08得票数 0
回答已采纳
1.方法11.1我在云目录中添加了一个用户和密码。1.2HTTPPOST以<oauthServer>/token端点作为基本身份验证和grant_type=password、username=<cloud_direcotry_user>、password=<password>的基本身份验证1.4使用具有访问令牌和标识<
浏览 2提问于2018-10-07得票数 0
1回答
我想为一个基于WebAPI和AngularJs的应用程序创建一个授权机制。我正在考虑一个解决方案,但我真的不知道如何实现它。其概念是像在普通Web应用程序中一样对用户进行身份验证-使用用户/密码发布表单或选择OpenId提供者。如果用户成功通过
浏览 2提问于2012-11-23得票数 1
1回答
我们有一个基于cookie的常规web应用程序auth,现在我们希望分离前端和后端( API ),以便有第三方的公共API。因此我们的后端将在一个域上,而前端在另一个域上。RFC 授权服务器如果使用隐式OAuth,就不能发出刷新令牌,而我的问题是,如果您不真正使用第三方OAuth,而是使用自己的api,那么它在这个用例中是否仍然有效?**UPD** @FlorentMorselli评论后:
如果我可以在只有浏览器的应用程序中使用OpenID,那么refresh_toke
浏览 1提问于2014-10-15得票数 5
1回答
我目前正在学习OAuth 2.0和OpenID连接协议,我觉得我错过了一些东西。这是通过将用户代理重定向到授权服务器来实现的,在授权服务器中,用户向客户端应用程序授予权限(作用域)。然后,客户端应用程序接收授权代码,该授权代码可用于赎回和访问令牌,也可用于可选的ID令牌。这里我们来讨论OpenID连接。OIDC是OAuth 2.0之上的一个薄薄的层,它添加了一个名为openid的范围,当授予它时,允许客户端应用程序询
浏览 6提问于2022-11-27得票数 0
4回答
当我在写一个关于OpenID连接与棱角连接的博客系列时,我正在使用一个OpenID连接的角库,称为角-auth客户端。此库用于实现OpenID连接隐式流,并对ID令牌和访问令牌进行客户端验证。我的问题是:
因为browser应用程序存在于浏览器中,浏览器中包含可以被篡改的javascript文件,所以有eg的恶意用户会篡改这些文件。嗅探到另一个用户访问令牌,为了禁用ID令牌<e
浏览 1提问于2018-04-18得票数 3
2回答
我的网站有一个Restful API,需要身份验证。当用户登录网站时,会进行HTTP基本认证(用户名和密码),并返回API中生成的访问令牌。但是最近我实现了steam登录(是的,steam可以作为OpenID提供者)。一切正常,但是如果没有发送密码,我如何在API上验证用户身份。
浏览 2提问于2017-05-04得票数 6
1回答
OIDC -验证JWT以避免篡改
、、、、
我正在使用ASP.NET Core 2的AddOpenIdConnect身份验证扩展方法来轻松地建立一个带有Azure提供者的OIDC。下面是我目前在Startup.cs类中所做工作的一个友好示例。options.RequireHttpsMetadata = true;}
由于我们的安全需求,我需要记录我们的web应用程序如何验证通过OIDC传递给我们的JWT/令牌没有被“截获、篡改或伪造”。ASP.NET核
浏览 0提问于2018-03-14得票数 1
回答已采纳
我正在使用OAuth2.0中的授权码流和OpenID连接来验证我的应用程序的用户。,它看起来是这样的: 单击登录到Google -->用户给授权服务器权限-->我检索授权码-->发送代码到node.js/express后端-->代码和密码发送到授权服务器-->后端获取访问代码和ID令牌--> ID令牌发送到前端读取-->发布到资源服务器的访问代码-->检索其他谷歌信息-->发送到前端。现在我有了访问令牌和I
浏览 16提问于2020-08-10得票数 0
回答已采纳
2回答
我使用JWT在PHP中创建了一个api。我已经为代币设定了10分钟的到期时间。如何验证用户在10分钟后是否仍然登录?
与OAuth一样,提供刷新令牌和访问令牌,使用刷新令牌,我们可以生成新的访问令牌。中创建刷新令牌?因此,如果客户端接收到Invalid token错误,他们可以在刷新令牌中使用该user id请求新令牌。(Android)开发人员说,他们从来没有在
浏览 14提问于2022-03-31得票数 1
回答已采纳
2回答
我花了一整天的时间在谷歌上搜索,无意中发现了很多不同的解决方案,其中大多数似乎已经过时了。我的后端是Slim应用程序,使用令牌身份验证。我对基于令牌的身份验证和角质化非常
浏览 1提问于2017-04-28得票数 3
回答已采纳
1回答
API网关处理令牌验证(通过OpenID连接)。仅当令牌有效时,请求才会路由到目标后端服务。 那么我是否也应该在后端服务本身中验证token呢?服务需要来自令牌的信息来修改数据库查询(仅允许用户读取资源)。但这意味着我必须再次验证令牌,对吗? 这是最佳实践吗?我是不是忽略了什么?在这种情况下,在API网关处验证令牌有意义吗?
浏览 7提问于2021-07-26得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
