1回答
我正在使用一个第三方授权API,它需要多个API调用,并且需要在MERN堆栈中的每个调用中更新会话令牌。在执行第一个调用时,我可以在Network > cookies下看到需要为相应调用返回的Cookie。我还可以在Network > header下看到调用的相关set-cookie头。cookies标记为HttpOnly且安全。据我所知,这意味着我不能使用javascript访问这些cookies,它们也不会存储
浏览 18提问于2020-03-20得票数 1
我正在尝试使用oauth2标准实现我自己的授权服务器。在读取授权码流规范后,请求API访问的第三方应用程序需要来自授权服务器的授权码,然后该授权码将用于交换访问令牌。我的问题是,一旦我从我的授权服务器生成了授权码,从概念上讲,我应该将它存储在哪里,以便当客户端应用程序请求交换访问令牌时,我可以验证授权码是否有效?
浏览 117提问于2021-11-10得票数 0
我正致力于在我的spring引导应用程序中集成第三方API。
是否有一种方法可以使用RestTemplate无缝地处理这种情况?我已经尝试过手动处理这个案例,所以
浏览 0提问于2019-05-27得票数 3
4回答
当主流浏览器默认禁用第三方cookie时,我想知道如何处理2019年Oauth2隐式授权流中的刷新令牌。通过将prompt=none查询param发送到IDP授权端点(流程在中有很好的描述),可以进行刷新。当进程结束时,响应中返回的新JWT将再次存储在本地存储中。当在浏览器的设置中禁用第三方cookies时,iframe无法访问它自己的cookie,因此将返回错误login_required,而不是新的JWT。无法通过iframe<e
浏览 0提问于2019-02-21得票数 8
回答已采纳
我有一个带有第三方cookies的网页,我正在尝试用Javascript在页面加载时禁用它们。console.log("cookies = " + cookies);
{ console.log(cookie_name + " disa
浏览 0提问于2018-08-25得票数 0
1回答
我使用Auth0进行身份验证,到目前为止,我所理解的是,每次我想使用Auth0方法调用API时,都需要获取访问令牌,然后将其放入授权头中。我想知道是否应该在用户登录后存储访问令牌,以及存储它的最安全的位置是什么?将其存储在cookie或React上下文对象中是个好主意吗?到目前为止,我已经阅读了大部分Auth0文档,但是实现太多了,我无法理解如何解决这个问题。
浏览 4提问于2021-03-06得票数 1
2回答
如果我理解正确的话,Oauth2是专门为授权公共第三方客户端的部分应用程序接口而设计的。我似乎在规范中找不到任何关于授权第一方客户的内容。我读过一些关于使用隐式授权类型的文章,但是感觉使用隐式授权类型来达到这个目的,这并不是规范设计的真正目的。 假设我有一个API,我想通过web应用程序和本地移动应用程序访问它。用户可以在这些应用程序上创建帐户并访问API的某些部分。我还想有一个管理门户,可以<em
浏览 46提问于2019-12-26得票数 1
回答已采纳
我正在使用Newman和本机Windows Postman应用程序来测试REST API。它存储请求之间的会话cookie,允许我在不提供正确授权的情况下访问需要授权的信息。通过阅读和官方邮递员文档等问题,我知道如何使用图形用户界面删除cookies,但这并不能帮助我解决这个问题。
浏览 15提问于2017-07-25得票数 11
1回答
我有简单的授权和上传API脚本的问题。r = requests.post(url, headers = self.headers, data = formData)但网站拒绝了
浏览 3提问于2015-07-03得票数 6
回答已采纳
2回答
经过一些广泛的研究,我仍然不知道如何正确地实现以下情况。我认为这个问题回答了一些类似的问题,但我不能百分之百肯定(客户端是否应该访问第三方API访问令牌?)。假设我有我的资源服务器(my-api.com),我的身份提供者和授权服务器(my-idp.com),并且有一个客户端应用程序(原生或浏览器) (com.my- app )。标准用例是用授权授权流实现的。
现在我有了一个新的用例,在这里我需要从第三方资源服务器(其
浏览 0提问于2020-02-15得票数 1
回答已采纳
REST不会被第三方开发人员使用,但将是特定于应用程序的,因此不需要实现oAuth。因此,我计划在用户输入用户名/密码的地方使用基本身份验证来访问API资源。所有API通信都将在SSL上进行。带令牌的基本身份验证
与其让应用程序存储用户名/密码并将其与每个请求一起发送到API,我更愿意在第一个登录请求中验证用户名/密码并发送一个GUID令牌。客户端存储这个GUID令牌,并通过授权头将每个请求发送回
浏览 8提问于2012-08-23得票数 33
回答已采纳
此Api使用多个第三方Api,这些Api不受我们的控制,由AAD保护。
在调用期间,对令牌中的clientId进行授权检查这是否需要对任何这些API进行代码更改
浏览 1提问于2018-11-09得票数 0
1回答
在我的Reactjs应用程序中,登录后,用户会上传文件,然后在我的nodejs上有一个GET方法,当用户想从服务器获取文件时,它会发送文件(res.sendFile)。
浏览 1提问于2018-05-12得票数 0
2回答
点击一个按钮,它会将我引导到浏览器,在那里我登录到runkeeper的web应用程序,在获取访问令牌和user_Id后点击服务,然后返回到我的应用程序。
浏览 1提问于2016-11-24得票数 7
2回答
问题2:假设,我将访问令牌存储在本地存储中,并将访问令牌发送到所有API,并且在访问令牌到期之前刷新它。但是,如果用户关闭浏览器,而我们无法刷新访问令牌,会发生什么情况。访问令牌过期,用户将被注销。我们如何让用户登录一段时间(比如30天)?
浏览 21提问于2021-12-08得票数 2
回答已采纳
1回答
我正在构建一些带有需求的1方微服务,这使得我对使用OpenID/OAuth进行所有的第一方通信感兴趣。所需经费如下:
1使用客户端凭据完全访问两个资源服务器的自动化微服务。对于这些需求,我认为最好也对每个第三方连接使用OpenID。这意味着当我登录时(通过SPA -> API),我立即使用授权代码工作流获得一个auth代码,然
浏览 10提问于2022-01-07得票数 0
现在我有了精确的HTML,如google示例所示:2)设置了OAUTH授权屏幕4)我还创建了API密钥通过所有这些步骤,当我调用gapi.client.init时,它只在chrome中引发异常,我不明白为什么。初始化API的代码是: apiKey: 'MY_API</
浏览 3提问于2017-03-08得票数 26
回答已采纳
我试图确定是否直接使用第三方服务提供的令牌,或者发布自己的自定义令牌并存储第三方令牌服务器端。用户通过第三方(基于社交媒体的登录/身份管理)验证其身份。客户端将“授权令牌”发送给我的服务器,它与“秘密应用程序密钥”(由第三方提供)结合使用,让服务器将用户的“授权令牌”交换为“访问令牌”(我实际上需要代表用户进行API调用的令牌)。向客户端发送第三方“访问令牌”,以便它可以包含在将
浏览 0提问于2018-08-30得票数 4
回答已采纳
我的目标是保护我的无状态API,并且只允许注册的第一方客户机(SPA)使用我的资源。在我的场景中不会有任何第三方客户。我知道Oauth 2授权使用隐式授权类型推荐给公共客户端(在我的情况下,是SPA)。您是否认为为我的API启用http基本身份验证是安全和明智的,那么我的第一方应用程序将能够获得用户凭据并将其添加到授权头并通过SSL/TLS通道发送到我的授权服务器以进行身份验证和获取<em
浏览 0提问于2018-10-14得票数 1
云服务器
ICP备案
对象存储
云点播
云直播
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号