如何访问oauth2访问令牌和用户信息
OAuth2是一种授权框架,用于允许第三方应用程序访问用户在另一个应用程序中存储的资源,而无需共享用户的凭据。它通过授权服务器颁发访问令牌来实现这一目的。访问令牌是一种代表用户授权的凭据,用于在资源服务器上访问受保护的资源。
要访问OAuth2访问令牌和用户信息,通常需要以下步骤:
- 注册应用程序:首先,您需要在提供OAuth2服务的身份提供者(如腾讯云)上注册您的应用程序。在注册过程中,您将获得客户端ID和客户端密钥,这些信息将用于后续的身份验证和授权过程。
- 身份验证:当用户希望使用您的应用程序时,您需要将其重定向到身份提供者的认证页面。用户将被要求提供其凭据并授权您的应用程序访问其资源。
- 授权许可:一旦用户成功进行身份验证并授权您的应用程序,身份提供者将向您的应用程序颁发授权许可。这个授权许可通常以访问令牌的形式返回给您的应用程序。
- 访问令牌:使用授权许可,您的应用程序可以向身份提供者请求访问令牌。访问令牌是一种长期有效的凭据,用于访问用户的受保护资源。您的应用程序可以将访问令牌存储在安全的位置,并在需要时使用它来访问用户的资源。
- 获取用户信息:一旦您获得了访问令牌,您可以使用该令牌向身份提供者请求用户信息。身份提供者将验证令牌的有效性,并返回与该用户关联的信息,如用户名、电子邮件地址等。
在腾讯云中,您可以使用腾讯云API网关(API Gateway)来实现OAuth2访问令牌和用户信息的访问。API网关提供了OAuth2授权机制,允许您轻松地集成和保护您的API,并提供了丰富的安全功能。
更多关于腾讯云API网关的信息,请参考:腾讯云API网关产品介绍
请注意,以上答案仅供参考,具体实现可能因应用程序和身份提供者的不同而有所差异。在实际开发中,建议参考相关文档和指南以获取准确的实施细节。
相关·内容
我对oauth2和OIDC有点困惑。
因此,假设使用OIDC,我们现在得到了在同一oauth2流中唯一标识用户的id_token。但我的理解是- oauth 2比OIDC更早出现,即使在这一点上,对OIDC的支持也不是通用的。
那么,当前使用oauth2 (没有OIDC)的API是如何工作的呢?
假设有一个移动应用程序需要使用一些API。
在移动应用get的oauth2访问令牌->之后,他们是否总是必须使用该访问令牌访问像/me这样的端点,然后该端点将提供用户id信息?因此,api必须跟踪为每个特定用户提供了哪些访问令牌?
Sry这个问题看起来像是请求一些琐碎的信息--但我对oauth2
浏览 1提问于2018-04-28得票数 1
使用OAUth2 web服务器流,我已经:
用户尝试访问www.Third-Party.com/迎宾
用户重定向至www.myserver.com/oauth2/authorize
MyServer对用户进行身份验证,并将其重定向到www.Third-Party.com/迎宾?code=.
第三,Party.com在幕后与myserver.com对话,用code交换OAuth2访问和刷新令牌。
一切都很好。现在,第三方需要确定用户的规范用户名,因此它可以对资源(如www.myserver.com/api/{ username }/details )进行ReSTFUL U
浏览 2提问于2013-09-03得票数 2
1回答
我想,是对Oauth2协议相关概念的误解。现在我有3份申请:
前部发展为反应
在Golang开发的OAuth2服务器(尚未完成)
另一个后端应用程序,让我们称之为:业务逻辑应用
首先,用户可以使用OAuth2服务器登录系统,OAuth2服务器发送令牌,一切都很完美。现在,当从react应用程序发送一些请求到时,令牌也被发送到标头中。我的问题是:拥有令牌,我应该能够从获得用户向OAuth服务器提出请求的信息吗?在OAuth协议中允许使用吗?
问题是,我需要知道在中哪个用户是登录的,如果不允许,我应该如何修复它?
浏览 1提问于2017-07-14得票数 0
我有一个现有的spring引导应用程序,它提供Rest,它不执行身份验证。身份验证是由FrontEnd应用程序处理的,对于来自FrontEnd的evert请求,我们在请求头(授权)中接收令牌,并且在继续处理org.springframework.web.client.RestTemplate请求之前,通过使用org.springframework.web.client.RestTemplate调用以下两个服务提供者端点来验证此令牌。为此,我们编写了一个拦截器来拦截每个请求并验证令牌。
令牌信息端点用于验证令牌,用户信息端点用于获取用户详细信息。
UserInfo: https://dev-lo
浏览 1提问于2021-11-24得票数 0
2回答
对于oauth2令牌和json令牌之间的区别,我感到非常困惑。我已经搜索了这些技术,结果是;
Open是一种协议,它使用JSON令牌来确保请求来自可信用户。
Json web令牌包含一些被sts私钥加密的用户信息(声明)。
Oauth2是一个框架,我们可以管理用户、客户端和资源以及第三方应用程序之间的登录操作。
Identity Framework4是一个开放Id连接实现.net MVC库。该库使用oauth2规范编写,并实现了Open。
这就是我不明白的地方。Oauth2框架已经有了它的令牌实现。
在这个场景中,JSON网络令牌的位置在哪里?例如,我们有一个简单的web应用程序和一个实现身份
浏览 7提问于2017-11-02得票数 0
OAuth2客户端流程无刷新令牌?
我使用的是android应用程序。用户登录但缺少刷新令牌?
这是否意味着在令牌过期一个小时后,用户需要重新登录?
那么如何让用户保持登录状态呢?
浏览 4提问于2013-08-15得票数 1
我在阅读和阅读,不知道为什么要正确理解OAuth2流是如此困难,我以为我理解它,直到我想要我自己的服务器。
所以我有前端(web +移动应用,也就是资源所有者),我自己的API服务器(资源服务器),我想创建自己的OAuth2服务器。
因此,假设在用户注册时,我将它们注册在我的OAuth2服务器上,保存用户名和散列密码(我还想保存组织/项目名称,这样我就可以为多个项目使用oauth2服务器而不用担心用户名重复)
然后,前端直接使用access+refresh从OAuth2服务器获得password_grant令牌。或者我应该通过我的API来使用CLIENT_ID/CLIENT_S
浏览 1提问于2022-01-06得票数 1
1回答
OpenId连接将身份验证添加到OAuth2协议中。OAuth2是一种用于授权的协议。但是,如果我只对用户身份验证感兴趣呢?在阅读了OpenId连接之后,您似乎在成功的时候同时收到了ID令牌和访问令牌。但如果我不在乎这里的授权。我可以省略协议中的访问令牌吗?如果我只对身份验证(例如SAML)感兴趣,那么是否有更好的协议可供使用?
浏览 0提问于2016-03-06得票数 8
1回答
弹簧安全Oauth2集团
、、、
我在Spring中的当前权限集支持具有组中权限级别的用户,因此以下是正确的:
用户(实现UserDetails)在组中具有权限(加入用户+组,给予GrantedAuthority)。对于HTTP身份验证,用户可以在组中执行操作并在组之间切换。
对于api访问,我试图允许用户授予特定客户端(带有id +秘)来访问不同的作用域数据。使用标准的Security OAuth2,如果我这样做,它们将能够使用用户的凭据访问所有组对象。在Security / Security Oauth2中,用户是否可以按组授权?
浏览 3提问于2016-03-24得票数 0
回答已采纳
2回答
在使用Keycloak时,访问令牌与用户信息令牌有什么不同?
从OAuth2/OpenIDConnect中,我了解到访问令牌提供了用户已通过身份验证的信息,您需要使用user info令牌来获取有关用户及其配置文件/角色等的更多信息。
当我在和UserInfo令牌中比较访问令牌时。我能够获得关于用户配置文件和角色的相同信息。
为什么会这样,在使用Keycloak时,访问令牌和用户信息令牌有什么不同?
浏览 0提问于2018-02-16得票数 8
回答已采纳
我正在尝试学习更多关于使用OAuth2的微服务身份验证的知识。
我一直在阅读关于OAuth2的文章,虽然我了解基本知识,但我很难理解每件事情是如何一起工作的。
让我们从一个例子开始:
我有一个基于两个微服务的网站:
auth服务:基本上是使用基于资源所有者的密码身份验证的auth2服务。
相册:一旦用户通过身份验证,他就可以创建相册并与站点的其他用户共享。
网站有一个“记住我30天”选项,在登录期间。
用户应该能够看到他从哪些设备和位置登录,并能够终止(在未经授权的登录)。这与FaceBook和DropBox提供的功能类似。
让我们从身份验证应用程序开始,典型的auth2响应如下所示:
{&#
浏览 0提问于2016-07-30得票数 0
回答已采纳
我想在我的应用程序中添加社交签名。
OAuth 2.0指定了四个角色:资源所有者、客户端、资源服务器和授权服务器。
据我所知:
Resource Owner - me
Client - my JavaScript application running in Cordova.
Authorization Server - Google's OAuth2 implementation (https://accounts.google.com/o/oauth2/auth?...)
Resource Server - an ASP.NET Web Api.
我正在成功地从我的客户端应用
浏览 1提问于2015-12-24得票数 1
回答已采纳
有些微网络是由Zuul网关支持的,它们都是由Security OAuth2保护的。设想如下:
1-作为OAuth2客户端的Zuul网关。
所有支持的应用程序都是OAuth2资源服务器。
一个应用程序正在作为OAuth2授权服务器(UAA)运行.
OAuth2的流是Authorization code流。在Pricipal调用授权服务器的端点时,所有资源服务器都需要获取用户信息,如下所示:
security:
oauth2:
resource:
user-info-uri: http://localhost:9191/uaa/user
每件事都像预期的那样正常工作。
需要
浏览 1提问于2019-07-26得票数 0
回答已采纳
2回答
我正在为学习管理系统创建一个REST启发API。它将公开诸如用户、类、年级、课程等数据。我已经定义了我想公开的所有资源,给他们每个端点URL,并定义了返回的JSON资源结构。
现在我想了解如何使用Oauth2保护API (我不想使用Oauth1)。我是否正确地假设我的API将同时扮演授权服务器和资源服务器的角色?另外,我应该研究什么样的赠与类型/流程?
很多教程似乎专注于使用Oauth2登录,使用facebook凭据等,但我只想使用它来保护我的API,并允许我的用户访问我的API (或者通过客户机,或者直接访问)。API的访问权限应该遵循系统中已经处理的各个用户的访问权限。
抱歉,我对散乱的问
浏览 0提问于2015-01-21得票数 2
回答已采纳
1回答
我是oAUth2的新手,我正努力把一些事情弄清楚。
我理解oAuth2所涉及的基本原则,但我不知道如何在我的情况下实现它。
我正在编写一个应用程序,它代表用户自动执行手动过程并执行一些任务(更新/请求status...etc)。我们连接到的API使用oAuth2授予我们的应用程序权限。当用户与我们一起创建一个新帐户时,我们计划让用户授予我们的应用程序权限。
据我所知,用户将请求提供给我们的应用程序的身份验证代码。然后,我们的应用程序将使用身份验证代码生成访问令牌。
我们只想这样做一次。然后充当用户发送和接收通知,而不必让用户使用他们的凭据登录服务。
由于auth代码和auth令牌过期,我不知道
浏览 1提问于2014-03-19得票数 3
回答已采纳
我在ASP.NET核心2.2 AddJwtBearer中使用oauth2授权码流。我的令牌端点返回JWT access toke,以及检查用户权限所需的所有声明。我可以将这个令牌作为任何Web API调用的载体发送,标准的.net代码可以使用这些声明来检查权限,例如[Authorize(Policy="somePolicy")]。其中一个声明指向我们可以撤销的内部会话密钥。 所以我的问题是,为什么我需要ID令牌,甚至是刷新令牌?声明和其他详细信息都在访问令牌中,那么ID令牌会对此添加什么呢?如果信息在Auth令牌中,必须使用对userinfo端点发送的进一步调用是浪费吗?如果
浏览 20提问于2019-05-05得票数 1
回答已采纳
我在一家大公司工作,我们正在开发一个应用程序,需要在没有web浏览器界面的情况下访问令牌。这样做的原因是我们有一个技术限制,我们不能向用户提供辅助键盘,让他们输入他们的google凭证。我们可以在设备上提供用于用户验证的键盘。
授权是OAuth2的第一步,实现OAuth2的服务通常会弹出浏览器要求用户登录和同意,例如访问Google API,无论是哪种类型的应用程序,we应用程序,移动应用程序等,授权都是通过弹出的方式通过用户登录和同意来完成的。这不是我们要找的。
OAuth2还提供了“password”授权类型,可用于在不重定向(弹出)的情况下直接交换访问令牌的用户名和密码。这也是我们从谷歌
浏览 0提问于2014-02-09得票数 0
2回答
在OAuth2协议中,Client (RP In OIDC)应用程序获得访问令牌,使其能够代表资源所有者使用不同的服务(资源服务器角色)。
另一方面,在OpenID连接协议中,客户端获得两个令牌(访问和id令牌)。现在,这个客户端可以使用访问令牌从UserInfo端点获取用户声明。
OP (授权服务器)在这里扮演资源服务器的角色(就OAuth2而言),客户端代表用户获取用户数据吗?
客户端如何使用ID令牌?客户端是否将此ID令牌传递给资源所有者的用户代理(Browser),然后用户代理存储此令牌以启用SSO (cookie)?
客户端(例如,与获得ID令牌的客户端不同)是否必须在每
浏览 2提问于2018-07-06得票数 3
有oauth2服务器和一些服务。
某些用户已在计算机上进行了%2个服务的授权,并获得%2个access_tokens。并且这个用户已经在手机上授权了一些服务,并获得了另一个access_token。
用户从所有服务从计算机上注销。注销必须使此会话(计算机)的所有access_token无效:令牌123、789。
如何正确绑定access_token和用户会话?OAuth2服务器具有web前端,并通过cookie中的JWT令牌记住用户。它是正常的绑定access_token与这个JWT令牌,当用户在oAuth2服务器上点击注销,然后获得所有的access_token,与这样的JWT令牌
浏览 0提问于2020-07-01得票数 0
1回答
我们有三个微服务: microA、microB和microC。
microA & microB正在为产品1提供动力。
microA & microC正在为产品2提供动力。
显然,我们需要一个安全层,在我们的示例中,实现"OpenID连接“提供程序非常适合业务需求。我们将OpenID提供程序添加到堆栈中。
用户/权限管理非常简单和自然:我们将每个微服务上的用户的OpenId标识符与一个权限子集关联起来:
例如,在服务microA上,我们存储用户OpenID XXX可以这样那样做。在微观服务层面上是孤立的。尊重我们所处的环境。很好。
当用户使用OpenID登
浏览 2提问于2016-06-28得票数 3
1回答
好的,我花了几天时间寻找一个正确的解决方案,在使用SPA时如何正确验证用户的身份。
我有自己的网站。
我有自己的API。
我有自己的单页应用程序。
我有自己的用户数据库。
的目标:我需要通过提供用户名和密码来获得access_token。
我查看了OAuth2隐式格兰特,但是它要求用户在成功的身份验证之后批准/拒绝应用程序。这在我的情况下是行不通的,因为我拥有这个应用程序和API。
我查看了OAuth2密码授予,这并不完美,因为我需要公开client_id/client_secret。
我之所以看OAuth2,是因为这个API最终将是公开的。
是否有一种标准的方法来做到
浏览 0提问于2017-01-06得票数 9
2回答
我正在为一个移动应用程序构建一个REST后端。在我们的设计选择中,我们决定让OAuth2提供者处理登录安全性;但是,我不确定访问令牌的最佳实践是什么,这是我从OAuth2提供者那里获得的。
情况是,当用户登录时,我会从OAuth2提供程序获得一个访问令牌。每次移动应用程序向我的后端发出请求时,我都需要使用这个令牌,这样我就可以针对OAuth2提供者验证令牌是否仍然有效。
我知道我将创建一个JWT并将其交给移动应用程序,它将在每次发出请求时使用该应用程序。现在,我的问题是,是将从OAuth2提供程序获得的访问令牌作为声明存储在JWT中,还是将其存储在数据库中,并将其与用户ID连接,然后将其存储在
浏览 0提问于2016-02-10得票数 20
1回答
我有一个客户端正在使用OAuth2进行单点登录,并使用自己的登录页面。一旦用户登录,它们将被重定向回我正在构建的React。我想找出的是我的应用程序与OAuth2集成的方法,以确保用户是否还在注册。例如,如果用户仍然经过身份验证,我需要一种检查OAuth2的方法来刷新应用程序。
我是否应该使用快速服务器来管理重定向从AUTHORIZATION_CODE返回的OAuth2?据我所知,OAuth2在重定向url中返回一个AUTHORIZATION_CODE和状态。如果是这样的话,我将如何处理这方面的特快?是否有一个管理此过程的快速插件。
或者我可以绕过使用express,只使用Auth0 Reac
浏览 2提问于2022-03-16得票数 1
我们有一个移动应用程序,这是需要通过WSO2应用程序接口管理器来访问一些API。由于oauth2身份验证,我们需要在手机应用中存储用户名和密码,这样安全吗?例如,用户名和密码可以用于登录API Store,对于这种情况,有什么替代方案吗?
浏览 1提问于2013-08-27得票数 2
1回答
目前,我们已经有了一个应用程序,它是一个前端和后端分离的应用程序,前端是一个web应用程序(SPA),后端是一个web API。
对于应用程序,我们已经有使用寄存器,用户登录,用户角色,角色权限,用户检查和权限检查。
现在,我们正在集成外部标识服务(open和Oatuh2),但我误解了外部标识服务的身份验证和授权。
问题1:是的,我可以使用外部身份服务登录并获得访问令牌,但是在此之后,我仍然需要在我的应用程序中维护用户,因为对于业务,我需要知道是谁创建了订单,谁在操作它等等…那么,用户系统我在我的应用程序中做了什么,我还需要做什么,它是否纠正了我所做的?
问题2:用于授权,我仍然需要在应用程序
浏览 1提问于2019-03-27得票数 3
1回答
我正在使用Spring为我们的移动应用程序开发一些RESTful服务。我成功地使用用户名和密码注册实现了Oauth2身份验证。用户可以使用用户名和密码进行身份验证。此外,我们的客户端希望使用他们的自定义令牌进行身份验证。它们有一个web服务,您可以发送令牌,并且响应是正确或错误的。
我的第一个想法是,我可以编写像/自定义登录这样的服务,并且该服务接受自定义令牌。在我的服务中,我可以使用外部服务检查此令牌,如果它是有效的,则调用oauth2身份验证并返回oauth2身份验证响应。
如何实现自定义身份验证oauth2?
浏览 4提问于2016-05-05得票数 0
回答已采纳
1回答
流明社会名流
、、、
信息
我正在寻找一些清洁使用的社会名流包在一个Lumen项目。我想使用OAuth2,这样用户就可以在我们的应用程序上使用Google、Facebook或其他社交帐户进行身份验证。
据我理解,Socialite重定向到所选提供程序的一个页面,请求用户的许可,并使用经过身份验证的用户对象返回到应用程序。我用Laravel应用程序做了一个基本设置,这一切都很好。
问题
我有一个基于Lumen的身份验证API,其中验证了用户凭据。这只是一个后端服务。实际的用户凭据来自不同的前端(应用程序)。前端是否需要实现OAuth2 / Socialite,并将社会用户的详细信息发送给我的授权API,还是API可以
浏览 0提问于2018-09-07得票数 0
有一个应用程序想要使用oAuth2与我的用户进行身份验证。
因此,他们使用authorize URL和参数(例如重定向uri)打开一个窗口。
喜欢:
现在我有了自己的防火墙-登录,当用户登录时,我从firebase获得他们的访问令牌。这就是我想要回应的。
但是,在oAuth2指南/解释(如 )中,我看到我应该返回一个授权代码,我不知道从哪里可以得到它?
我能做的是,生成一个狗屁代码,将它在DB中配对到访问令牌,然后在“令牌”请求中发送正确的访问令牌。这就是我该做的吗?
首先要说明的是,这是我第一次亲自编写oAuth2服务。
浏览 2提问于2018-03-06得票数 11
回答已采纳
1回答
我研究过OAuth2和OpenId连接协议来保护资源,但是有些东西感觉不对。
如何允许简单和直接地访问受IdentityServer4保护的API?
用例:用户需要直接使用我的REST,不涉及浏览器(例如,通过Postman)。
就这么简单:
用户向身份提供者发送一个带有用户名和密码的请求,以生成访问令牌.
他使用该访问令牌(作为承载)并使用API.。
但是,在此过程中也存在一些复杂的问题,比如向身份提供者提供客户端秘密和作用域以生成令牌(用户只应该关注他的用户名和密码,而不是范围等的概念)。也许OAuth2/OpenId连接不是适合这项工作的工具吗?
浏览 3提问于2022-03-07得票数 0
我使用的是带有NodeJS后端API的AWS认知,并希望在访问令牌返回/OAuth2/令牌端点中包含用户详细信息,并在用户池客户端应用程序中定义作用域。
另外,如果我使用adminInitiateAuth API,就无法在返回访问令牌中包含这些作用域。那么,是否有可能在一个访问令牌中同时包含用户详细信息和作用域?
浏览 2提问于2019-07-23得票数 2
2回答
我想实施一个“.签到”认证系统
我读过几篇关于oauth2的文章和文章。我读过的每个人都停止讨论或教程获取访问令牌,并可能登录该会话的用户。
我明白这一点,并能落实这部分。我不明白的是:
当用户离开网站一周没有回来,但他们仍然登录到客户端,我如何将他们重新登录到我的应用程序?我知道您将访问令牌保存到DB,但是如何使用它将它们重新登录?
如果它们已从客户端注销,如何将它们重定向到客户端的登录页。似乎每次我尝试重新登录时,我都会被要求再次允许或拒绝这个应用程序。我知道这是不标准的,那我该怎么解决呢?我如何发送客户端,让它知道用户已经授权了应用程序?
我不需要代码示例,除非有人知道一
浏览 1提问于2016-01-15得票数 8
回答已采纳
1回答
再见,
我使用IdentityServer4的目标是保护资源api,并在组织中公开身份服务器。
所以实际上我有这样的元素:
授权服务器
API资源
客户端(SPA应用)
我希望使用用户角色访问的范围和单个操作来保护我的API。例如,我有这样的apis:
- API 1 (Scope API 1)
- Action1.1 <-- Only admin
- Action1.2 <-- Only manager
- Action1.3 <-- Only manager
- API 2 (Scope API 2)
- Action
浏览 0提问于2019-01-15得票数 0
回答已采纳
我是oAuth2安全的新手。我有一个关于访问REST资源的基于用户角色的授权的问题。我在网上冲浪时,输入了oAuth2的身份验证部分。
让我为您提供困扰我的场景。
我有一个REST webservice,它具有读取(HTTP get)、插入(HTTP post)、更新(HTTP put)和删除(HTTP delete)给定资源的方法。
我有两个用户角色“标准”和“管理员”。“标准”用户只能调用READ (HTTP get),而“ADMIN”只能访问INSERT、UPDATE和DELETE方法。我如何才能实现同样的目标?
应考虑哪个oAuth2授权流程?
你能给我介绍一下REST资源基于用户角色
浏览 0提问于2015-02-20得票数 3
假设我有一个谷歌应用程序,用户多次使用OAuth2授权我的应用程序,并且我的应用程序存储了授权生成的所有刷新令牌。我的应用程序可以保留多少有效的刷新令牌?每个刷新令牌生成的访问令牌有多少是有效的?
浏览 0提问于2016-02-22得票数 3
我有一个项目用户java spring boot和oauth2。访问令牌太长。
如何设置访问令牌的长度。感谢你的帮助
浏览 0提问于2017-11-20得票数 0
我正在为我的应用程序构建一个专用的OAuth2作为服务,其中用户将对自己进行身份验证和授权。
我有以下顾虑
1) OAuth2 TokenScope类似于Django权限吗?
2)如果我想创建角色级别的层次结构应用程序,如何使用OAuth2构建一个?
浏览 1提问于2018-03-19得票数 1
我使用spring安全oauth2实现了一个oauth2授权服务器,并使用JwtTokenStore存储访问令牌,然后我需要为当前的访问令牌提供一个/userinfo控制器,通过oauth2客户端获取用户信息,/userinfo如下: @RequestMapping("/userinfo")
public Object getCurrentUserInfo(HttpServletRequest request) {
Authentication authentication = SecurityContextHolder.getContext().g
浏览 13提问于2020-07-14得票数 0
回答已采纳
我正在创建一个与多个第三方Oauth2提供商集成的应用程序(想想Zapier)。用户通过Oauth2添加一个连接,它为我提供一个刷新令牌和访问令牌,并将其存储在数据库中。
保持访问令牌新鲜的最佳实践是什么?我是否应该运行一个异步作业(例如cron),为每个连接每30分钟刷新一次访问令牌?如果用户几天没有使用我的应用程序,我仍然希望能够访问他的第三方数据,而无需经过Oauth2的同意。
浏览 0提问于2019-02-16得票数 4
回答已采纳
1回答
我用React作为前端。我用react-google-login和react-facebook-login登录Google和Facebook。
它给了我前端的accesstoken。
我将这个accesstoken传递给后端(我在hapi中使用Node )。
但是在后端,我如何才能使用userDetails从谷歌或Facebook获得accesstoken,并通过刷新令牌获得新的accesstoken?
更新:
好的,在google oauth2过程中有三个步骤。
取授权码
交换授权代码以获取访问令牌
传递访问令牌以获取用户信息
当我把前端和后端解耦的时候。在这三个步骤中,
浏览 0提问于2018-11-16得票数 3
回答已采纳
如何撤销管理员用户的访问令牌和刷新令牌?而在Oauth2中使用JWT。是否建议将令牌存储在数据库中?
浏览 29提问于2021-07-24得票数 0
我正在考虑使用id令牌代替id令牌进行授权,这样资源服务器就可以验证其符号并从中提取用户id。这种方法有我不知道的地方吗?
如果丢弃访问令牌,则无法使用验证端点。对我们来说,用户授予访问权限的范围并不重要,因为客户端应用程序和OIDC的身份提供者都是我们拥有的。
我正在使用这个库来实现OAuth2和OpenID服务器。
浏览 0提问于2018-09-07得票数 8
回答已采纳
假设目标是通过访问令牌授权对资源服务器(RS) resource.com/resource的访问,但使用OpenId连接进行身份验证,而不是依赖于OAuth2中提供的授权服务器的自定义身份验证集成。
我不清楚它们是如何互操作的,特别是id令牌是如何提供给后续的OAuth2流的。
1. 1.OpenId被实现为一个“授权访问用户配置文件/身份”的OAuth2,但是它使用了什么流呢?此时,请求者(用户代理或客户端应用程序)将id令牌和访问令牌获取到userInfo。
2.但是现在,获得了身份,需要到终端服务(资源服务器RS)的授权/访问令牌。在实现资源服务器访问令牌的最终目标之前,下一步是什么?
浏览 0提问于2017-11-16得票数 2
我正在尝试在spring中编写一个客户端,它将调用由OAuth2保护的REST api。我有以下内容,可以用来从Auth server获取令牌,然后调用资源服务器。客户端ID、客户端密码、用户名、密码和访问令牌URL (从中提取令牌的URL)以及资源URL。我如何在spring boot中编写一个具有上述信息的客户机,以便我可以调用资源服务器URL来获取我的资源或执行POST。在我获得访问令牌后,我如何缓存它,这样我就不必为每个请求生成令牌。缓存令牌好吗?
浏览 3提问于2020-05-12得票数 1
我使用的是Ember + ember简单的auth
从facebook获得我的应用程序的认证代码。
这是我的environment.js文件
ENV['torii'] = {
providers: {
'facebook-oauth2': {
apiKey: '865549306850377',
scope: 'email',
//redirectUri: window.document.location.href
redirectUr
浏览 1提问于2015-01-13得票数 1
2回答
实现OAUTH2最佳实践
、、、、
我正在尝试构建OAUTH2提供者(比如discord/google),用户可以在其中创建一个具有client_id和client_secret的“应用程序”。在我研究的时候,我发现OAUTH2最适合做这种事情。
现在让人困惑的部分是主登录页面是如何工作的?
我是否也有自己的/login路由页面和POST /login来处理自己的用户,这样我就有两个表:
APIOAuthSession MyOwnSession-这将保持我自己的平台发布的访问令牌完全优于api/oauth2/token!!) -向第三方应用程序发出的令牌(跟踪client_id,以及它们拥有的scope )(由api/oauth
浏览 17提问于2022-05-21得票数 1
回答已采纳
我试图授权用户使用Oauth2访问Django REST框架API中的一些资源。
关于Oauth2和API的大多数答案都是关于如何使API成为提供者的。
但是我计划与多个REST共享一个Oauth2提供者,我不知道如何使用使用(而不是如何提供Oauth2)。
我不知道用户如何登录提供者SSO,然后将其令牌传递给我的消费API,该API必须根据我的提供者对用户进行身份验证(获取它的信息,主要是授权)。
有人知道如何使用Django REST框架中的Oauth2吗?
图:
用户-> My API <-> Oauth2提供程序(带有django-oauth- provider )
浏览 1提问于2014-06-26得票数 11
我正在使用来提供一个既没有身份验证也没有授权的API。相同的端点也提供UI,因此它具有交互式和服务器对服务器的查询。这是模块具有AuthType auth-openidc的功能。因此,该模块在OAuth2中充当资源服务器。
在配置它时,我意识到我接受来自密码授予的访问令牌,因此我的所有用户都有分配给他们的角色,而且我们实际上并不在客户机ids上使用作用域。因此,自然地,我希望通过以下角色限制对端点的访问:
<Location />
AuthType auth-openidc
OIDCOAuthIntrospectionEndpoint https://localhost/o
浏览 1提问于2019-04-03得票数 0
回答已采纳
2回答
在使用IdP通过oauth2对用户进行身份验证的web应用程序中,实现用户权限(客户端和服务器端)的标准/推荐选项是什么?
通过“用户权限”,我指的是用户在应用程序中执行的操作。
例如,假设应用程序有一个"admin“页面,该页面用于管理应用程序的某些设置,只有特定用户才能进入。其中一些用户只允许查看当前设置,而其他用户也被允许更改设置(可能只允许其中一些设置)。
据我所知,oauth2中的“作用域”的概念可能用于实现这样的要求,因此,一个只允许查看“app:admin:view”页面的用户将具有一个app:admin:view作用域,而一个也可以编辑设置的用户将拥有一个app:adm
浏览 2提问于2019-12-17得票数 7
回答已采纳
我试图使用OAuth2进行身份验证/授权,但是在阅读了很多之后,我感到很困惑.我试图了解OAuth和OpenIDConnect是如何相互关联的,以及我如何准确地将它们用于授权。
从我迄今为止的理解来看,
,
OpenID连接最好用于身份验证,OAuth最好用于授权。
OAuth2授权是通过作用域完成的
作用域是用户给客户端的权限,在资源服务器上验证。
OpenID连接id_token主要用于客户端应用程序,提供用户信息,而不是资源服务器验证用户的方式
这里是我的用例
我需要为我们制作的一组完全无状态的set服务提供SSO。
OAuth仅限于resource_owner授予
标识服务器在我们这边
浏览 0提问于2016-05-09得票数 31
我正在设置一个微软的流程,它将需要访问一个注册的web应用程序,它利用oAuth2身份验证。这样做的目的是获得一个JWT访问令牌,该令牌将用于访问web应用程序中受保护的API。我没有太多使用Microsoft Flow的经验,所以我想知道如何使用用户名/密码通过Auth2登录并检索令牌。
浏览 4提问于2020-01-14得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
