如何管理两个API之间的用户令牌，并使请求有效？

文章/答案/技术大牛

发布

1回答

node.js、loopback

我有一个管理用户帐户(登录/注册)的API。我还有另一个API，它提供其他服务，但还不能处理用户。我想为这两个API集成相同的登录/注册，就像微服务一样。正确的做法是什么？这两个API都是使用Loopback3生成的

浏览 14提问于2019-04-03得票数 0

1回答

访问令牌过期后处理API调用

ios、iphone、swift、api、token

令牌将每晚在12.00 am到期。对于如何在应用程序中处理令牌过期问题，我几乎没有什么疑问。What I have done:- 一位用户在11.59使用该应用程序

浏览 0提问于2017-11-05得票数 1

1回答

跨多个无状态API应用程序的用户管理

api、token、load-balancing、user-management、stateless

我们希望使我们的API无状态.只要令牌正在使用，它就是有效的.，直到它空闲了一段可配置的时间。在第三方(令牌提供者)方面，这个令牌有效的时间要长得多(例如:不管使用情况如何，在第三方的一方都有一个月的时间

浏览 0提问于2018-07-11得票数 2

回答已采纳

1回答

用于自定义API访问的auth0令牌

auth0

我很难理解用户如何访问我的API过期/更新。我遵循了快速启动的方法，SPA将用户发送到托管的登录屏幕，然后用户返回到回调页面，并带有访问令牌和id令牌。当SPA向我的API发出请求时，它在请求的“授权”头( SPA接收到的访问令牌不是有效的

浏览 1提问于2018-06-19得票数 0

回答已采纳

2回答

使用WSO2 API管理器进行身份验证

api、authentication、wso2、wso2-api-manager

我们有一个三层系统，包括API (后端)、客户端网站和最终用户。现在，身份验证发生在API上，这在两种情况下都可以完成。在一种情况下，客户端网站直接使用来自基于用户/pass的服务的令牌(客户端令牌)调用API，在另一种情况下，除了终端用户使用客户端Web站点登录到API服务器之外，还在客户端网站以外的API服务器上进行身份验证客户端站点获得另一个<em

浏览 2提问于2017-09-19得票数 1

回答已采纳

1回答

API网关应该负责授权吗？

authentication、architecture、authorization、microservices、api-gateway

如果凭据正确，则在标头中返回JWT令牌，否则返回401。用户向/login端点发出请求。API网关将其转发给"AuthServer“。如果凭据正确，则在标头中返回JWT令牌，否则返回401。

浏览 1提问于2018-06-05得票数 12

回答已采纳

1回答

如何保护oauth2 api不受已删除帐户有效令牌的影响

authentication、oauth-2.0

我有一个服务器，它通过ouath2身份验证来保护它的api。用户禁用\删除其帐户。令牌仍然有效(我知道它可以使令牌失效，但是还有另一种情况，用户从两个不同的客户机(browser\mobile)或两个不同的浏览器生成令牌，->接收到两个有效</e

浏览 2提问于2015-01-09得票数 4

2回答

授权服务器、Oauth2和auth0

authentication、oauth-2.0、jwt、authorization、auth0

我有一些问题，因为我不太明白如何实现身份验证流。现在，我了解了访问令牌和刷新令牌，但我不知道如何实现它。我有一个项目，前端是角的，后端是node.js koa，前面有微服务体系结构和网关。我可以使用auth0，如oauth2授权服务器，并将用户存储在其中？我必须拦截登录、注销和通过网关注册并重定向到auth0，还是必须在我的用户微

浏览 6提问于2020-03-11得票数 2

1回答

protect_from_forgery在Rails应用服务Web和API中的正确使用

ruby-on-rails-4、csrf-protection

我正在开发一个Rails 4应用程序，它通过API为移动应用程序提供服务，并为管理员管理应用程序提供了一个web。也有几个网页，用户将看到(成功的电子邮件确认和重置密码)。这两者都是从ApplicationController继承来的。负责面向用户的网页的其余控制器也继承了ApplicationController。考虑到这个方案，我不确定如何正确地使用protect_from_forgery实现CSRF保护。:这是

浏览 1提问于2015-12-10得票数 7

回答已采纳

1回答

在REST服务中的角色

c#、rest、asp.net-web-api

我正在开发REST服务，其中有多个用户，如标准用户、保险公司或医生等。所有这些“用户”在DB中都有单独的表。在此用户注册后，将生成令牌并保存在相应的表中。现在，当其中一个用户发送请求(例如医生)时，/api/Doctor/Getpatients我检查令牌是否有效并发送响应。我的问题是，当保险公司用有效</em

浏览 3提问于2015-04-22得票数 0

回答已采纳

1回答

Facebook永久用户访问令牌

facebook、facebook-access-token、facebook-ads-api、facebook-ads

我称之为Facebook广告API。我需要永久的Facebook用户访问令牌。我已经生成了一个长期存在的用户访问令牌，但是它将在60天后过期。我试过堆栈溢出的其他文章，但他们都谈到了有人能说出是否有可能获得Facebook永久用户访问令牌吗？如果是，那么请提到执行该任务的API。

浏览 1提问于2021-08-24得票数 0

回答已采纳

1回答

如何利用WSO2栈在API中实现基于角色的访问控制

wso2-api-manager、wso2-identity-server、wso2-esb

我们使用WSO2IS作为IAM服务器，角色和用户在WSO2IS中进行管理。WSO2EI将是集成服务器，公开私有APIs。谢谢

浏览 5提问于2020-05-30得票数 0

回答已采纳

1回答

Api网关责任:良好做法(授权、请求转换)

architecture、aws-api-gateway、api-gateway、spring-cloud-gateway

因此，为了使这篇文章容易阅读，我有两个主要部分“问题”和“细节”。Api网关应该负责授权和请求转换吗？报头-授权:无记名令牌只有具有管理角色的用户才能访问此端点(如果用户请

浏览 1提问于2018-06-05得票数 2

7回答

Facebook页面访问令牌-这些过期了吗？

facebook、facebook-graph-api、access-token、facebook-page

我正在开发一个应用程序，允许用户管理他们的Facebook粉丝页面。这需要以下两个访问令牌：我非常熟悉用户访问令牌，但不熟悉页面访问令牌。有人知道页面访问令牌仍然有效多长时间吗？我在Facebook网站上所能找到的只有，它没有提到它的到期。我是否可以假设，如果我使用offline_a

浏览 12提问于2011-10-08得票数 70

1回答

如何使用azure api管理进行自定义访问令牌检查和丰富请求中的数据

azure-api-management

在后端服务命中令牌之前，所有传入api管理的请求都将在头部中有一个令牌，必须验证令牌。为了验证令牌，将命中GET tokenVallidationApi，响应将告诉我们该令牌是否有效。如果存在用于令牌验证的响应，我们必须从响应中取出几个条目，并丰富主体/标头以访问后端api。我是api管理工具

浏览 0提问于2020-06-26得票数 0

1回答

如何限制谁可以获得有效的访问令牌？

symfony、oauth、fosuserbundle、fosrestbundle、fosoauthserverbundle

我开发了一个APIRest服务来使用移动应用程序中的数据。我使用了Symfony2包: FOSOAuthServerBundle、FOSUserBundle和FOSRestBundle，它们都工作得很好，但我需要区分管理面板用户和api用户，因为现在如果我尝试使用app进行管理身份验证，我将获得一个令牌，但是我只想获得一个与api有效的令牌。例如，对于下一个用户，我应该在第二个<e

浏览 2提问于2014-10-06得票数 0

1回答

Azure AD应用程序-与用户连接的客户端机密

azure、azure-active-directory、azure-functions、azure-function-app

请问，这里有没有办法在Azure AD中的应用程序和用户与客户端之间建立关系。我的用例。用户请求具有客户端机密的令牌(作为守护进程)，并调用我的web api和验证此令牌。令牌有效，但没有关于调用它的用户或注册应用程序的用户的信息。用户通

浏览 0提问于2020-03-27得票数 0

1回答

如何验证和使用访问令牌来访问API资源？

openid-connect、openid

嘿，我正在使用开放的id连接授权代码流来验证我的用户。在成功的身份验证之后，我将接收访问令牌和ID令牌。现在，当我的用户从OIDC提供者访问身份验证并被授予ID令牌时，我感到困惑，所以现在为了访问我的应用程序的API，我将在每个API请求中将访问令牌作为承载令牌传递，以及我的

浏览 1提问于2022-02-18得票数 1

回答已采纳

2回答

Facebook :轮询来自页面访问令牌的可用权限

facebook、facebook-graph-api、permissions

给定一个页面访问令牌，我如何投票Facebook的API以确定我的应用程序是否仍然可以在页面的时间线上发布？如果我是在用户的上下文中工作，这将很容易。我将使用用户访问令牌并调用此端点： "type":"O

浏览 2提问于2013-04-30得票数 2

回答已采纳

1回答

在每个请求中包括承载令牌，并保持用户日志记录

node.js、jwt、express-session

我在某个服务器上运行了一个API，当您向登录端点发送成功的请求时，它将为您提供一个JSONWEBTOKEN。在我的第二台服务器上，我正在运行一个将请求发送到API的网站。我想要的是保存用户在登录时接收到的JWT令牌，并保存它，这样用户发出的每个下一个请求都会发送Bearer令牌，同时保持用户<

浏览 1提问于2019-08-03得票数 4

点击加载更多