Google Apps脚本中的Xero Api :如何刷新访问令牌？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

访问令牌用于访问受保护的资源，例如 API，而刷新令牌用于在当前访问令牌过期时获取新的访问令牌。当 JWT 用作访问令牌时，它通常使用用户的声明和令牌的过期时间进行编码。...以下代码示例展示了如何在 Python 脚本中使用刷新令牌来确保用户的无缝体验：此示例使用 jwt 库来解码 JWT 访问令牌，并使用 requests 库发出 HTTP 请求。...该脚本首先向令牌端点发出初始请求以获取访问令牌和刷新令牌。然后，对访问令牌进行解码以获取过期时间，并在向受保护端点发出请求之前检查该过期时间。...如果访问令牌已过期，脚本将使用刷新令牌来获取新的访问令牌，然后重试原始请求。...以下是如何使用 JavaScript 使刷新令牌失效的示例：在此示例中，我们使用 localStorage 对象来存储和检索刷新令牌。

2.8K3 0

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

本文的主要贡献在于：首先，从技术底层解构了基于Google云服务滥用的钓鱼攻击链路，明确了攻击者如何利用API、Webhooks及通知服务绕过传统防御；其次，分析了当前企业在使用云协作平台时在IAM（身份与访问管理...凭证窃取与会话劫持：一旦用户点击链接并完成授权，攻击者即可获得访问令牌（Access Token）和刷新令牌（Refresh Token），从而在不需知道用户密码的情况下，长期控制受害者的邮箱、云盘或日历...// 模拟攻击者视角的Google Apps Script代码// 该脚本需部署在攻击者的GCP项目中，并拥有Tasks API权限function createPhishingTask(targetEmail...令牌生命周期管理空白：一旦授权，刷新令牌通常长期有效，除非用户主动撤销或管理员强制吊销。攻击者可以利用这一机制长期潜伏，即使修改了用户密码，只要令牌未失效，访问权依然存在。...该脚本展示了如何通过分析授权频率和权限范围来识别潜在的恶意应用。在实际部署中，此类逻辑应集成到企业的SOC（安全运营中心）平台中，实现实时告警与自动化响应（如自动吊销令牌、隔离用户账户）。

1311 0

您找到你想要的搜索结果了吗？

是的

没有找到

高级OAuth钓鱼攻击的演化机制与防御体系构建

本文系统分析了以Tycoon、EvilProxy为代表的新型钓鱼即服务（Phishing-as-a-Service, PhaaS）工具如何利用OAuth协议设计中的信任假设与实现缺陷，通过伪造合法应用、...其核心价值在于解耦资源所有者（用户）与客户端应用之间的凭证传递，转而依赖短期有效的访问令牌（Access Token）与长期有效的刷新令牌（Refresh Token）完成资源访问。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...返回的JSON响应包含access_token与refresh_token。前者有效期通常为1小时，后者可达90天（取决于租户策略）。攻击者利用刷新令牌可无限续期访问令牌，实现长期潜伏。...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2861 0

如何在 Python 测试脚本中访问需要登录的 GAE 服务

而我正在用 Python 编写一个自动化脚本来测试这个服务。这个脚本只是执行一个 HTTP POST，然后检查返回的响应。对我来说困难的部分是如何将测试脚本验证为管理员用户。...但我不确定如何在测试脚本中使用该帐户。有没有办法让我的测试脚本使用 oath2 或其他方法将自己验证为测试管理员帐户？2、解决方案可以使用 oauth2 来验证测试脚本作为测试管理员帐户。...以下是有关如何执行此操作的步骤：使用您的测试管理员帐户登录 Google Cloud Console。导航到“API 和服务”>“凭据”。单击“创建凭据”>“OAuth 客户端 ID”。...在您的测试脚本中，使用 google-auth-oauthlib 库来验证您的应用程序。...以下是使用 google-auth-oauthlib 库的示例代码：from google.auth.transport.requests import Requestfrom google.oauth2

2.6K1 0

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

，通过伪造Google官方安全通知邮件，诱导用户点击链接进入仿冒的OAuth授权页面，诱使其授予恶意应用“邮件读取”“联系人访问”等高权限范围（Scopes），进而获取可长期使用的刷新令牌。...一旦授权完成，攻击者即可通过授权码交换获取访问令牌（Access Token）与刷新令牌（Refresh Token）。...其中，刷新令牌有效期极长（通常无明确过期时间，除非用户显式撤销或长时间未使用），且可用于无限次获取新的访问令牌，即使用户更改了账户密码。...攻击者控制员工邮箱后，可：伪造来自高管或IT部门的邮件，诱导同事点击恶意链接；利用日历邀请功能嵌入钓鱼URL；通过API访问共享云端硬盘（Drive）中的敏感文档；将受害账户作为可信发件人，绕过企业邮件网关的...3.3 刷新令牌的长期有效性为提升用户体验，主流IdP（Identity Provider）普遍采用长期有效的刷新令牌机制。这虽减少频繁登录，却为攻击者提供了持久化后门。

3921 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

关键词：OAuth钓鱼；中间人代理；UTA0355；定向攻击；Microsoft Entra ID；Google Workspace；条件访问策略1 引言随着单点登录（SSO）和第三方授权在企业数字化生态中的普及...Workspace账户的访问权限，从而合法获取高权限令牌。...用户在Google官方页面看到的是“bsc2025.org请求访问您的基本资料”，由于域名看似合法，多数用户会选择“允许”。授权后，Google将授权码（code）发送至redirect_uri。...攻击者服务器立即用该code向Google令牌端点交换访问令牌（access token）和刷新令牌（refresh token）：# 攻击者后端：用授权码换取令牌import requestsdef...以下Python脚本利用Google Admin SDK Directory API列出某用户的所有OAuth客户端授权：from googleapiclient.discovery import builddef

2821 0

Django REST Framework-基于Oauth2的身份验证（一）

OAuth2是一种用于授权的开放标准，它允许用户授权第三方应用程序访问其资源，而无需将其凭据提供给该应用程序。...OAuth2是一种广泛使用的身份验证和授权协议，许多大型服务如Google、Facebook和Twitter都使用了OAuth2。...您可以使用pip安装它：pip install django-oauth-toolkit安装完成后，您需要将其添加到Django项目的INSTALLED_APPS中：# settings.pyINSTALLED_APPS...SCOPES用于设置OAuth2的范围，ACCESS_TOKEN_EXPIRE_SECONDS和REFRESH_TOKEN_EXPIRE_SECONDS用于设置访问令牌和刷新令牌的过期时间，ROTATE_REFRESH_TOKEN...用于控制是否在使用新的刷新令牌时将旧的刷新令牌加入黑名单，ALLOWED_REDIRECT_URI_SCHEMES用于设置允许的重定向URI方案。

3.8K1 0

从0开始构建一个Oauth2Server服务单页应用

请参阅https://oauth.net/2/browser-based-apps/ 了解更多详情。下图说明了一个示例，其中用户与浏览器交互，浏览器直接向服务发出 API 请求。...此外，浏览器目前没有可用于存储访问令牌或刷新令牌等内容的安全存储机制。...这在当时是有道理的，因为众所周知，隐式流的安全性较低，并且如果没有客户端密钥，刷新令牌可以无限期地用于获取新的访问令牌，因此这比泄漏的风险更大访问令牌。...具体来说，刷新令牌必须仅对一次使用有效，并且授权服务器必须在每次发布新的访问令牌以响应刷新令牌授予时发布一个新的刷新令牌。...存储Tokens 基于浏览器的应用程序需要在授权流程中临时存储一些信息，然后永久存储生成的访问令牌和刷新令牌。这在浏览器环境中提出了一些挑战，因为目前浏览器中没有通用的安全存储机制。

1.5K3 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...更严重的是，部分应用请求offline_access权限，可无限期刷新令牌，实现长达数月甚至数年的隐蔽驻留。现有研究多聚焦于凭据钓鱼或会话劫持，对OAuth同意滥用这一“授权层”攻击缺乏系统性分析。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...4.2 条件访问：基于权限范围的策略拦截创建条件访问策略，阻止包含高危权限的应用获取令牌：策略逻辑：触发条件：应用请求包含Mail.ReadWrite、User.ReadWrite.All等；操作：阻止登录

2431 0

基于云原生信任机制的钓鱼攻击机理与防御体系研究

一旦用户点击“允许”，攻击者即可获得访问令牌（Access Token）和刷新令牌（Refresh Token）。...利用刷新令牌，攻击者可以在用户不知情的情况下，长期、静默地调用API，持续发送Google Tasks通知，甚至读取敏感邮件、创建转发规则。...随后，脚本调用Tasks API创建一条新任务，任务标题为“紧急：请立即核实您的账户异常”，任务描述中包含指向钓鱼网站的链接（或利用任务描述本身的文本进行社会工程学诱导，因为部分客户端直接在通知邮件中显示任务详情...(token_json_path, SCOPES)# 如果令牌无效或过期，尝试使用刷新令牌刷新（攻击者可持续访问）if not creds or not creds.valid:if creds and...持久性：即使目标用户修改了Google账户密码，只要未手动在“第三方应用访问”设置中撤销该恶意应用的授权，攻击脚本仍能利用刷新令牌继续发送任务通知。

1301 0

Jenkins 支持 Github APP 身份验证了

改进的安全性和更严格的权限 - 与服务用户及其个人访问令牌相比，GitHub Apps 提供了更精细的权限。这使 Jenkins GitHub 应用程序需要更少的权限集即可正常运行。...访问 GitHub Checks API - GitHub Apps 可以访问 GitHub Checks API 以从 Jenkins 作业创建检查运行和检查套件，并提供有关提交和代码注释的详细反馈。...这是一个大型组织的示例： 3 流水线中获取 API 令牌除了将 GitHub App 身份验证用于多分支流水线之外，您还可以直接在流水线中使用 app 身份验证。...您只需照常加载“用户名/密码”凭据即可访问 GitHub API 的 Bearer 令牌，该插件将在后台处理 GitHub 的身份验证。...这可以用于从流水线中调用其他 GitHub API 端点，可能是 deployments api，或者您可能希望实现自己的 checks api 集成，直到 Jenkins 开箱即用为止。

1.6K2 0

从0开始构建一个Oauth2Server服务发起认证请求

虽然先发制人地刷新访问令牌可以节省 HTTP 请求，但您仍然需要处理 API 调用在您预期令牌过期之前报告过期令牌的情况，因为访问令牌可能因许多超出预期寿命的原因而过期。...例如，Google 的 API 使用 OpenID Connect 提供一个 userinfo 端点，该端点可以返回有关给定访问令牌的用户的信息，或者您可以改为从 ID 令牌获取用户信息。...我们在Signing in with Google中完成了 userinfo 端点工作流程的完整示例。...最安全的选择是授权服务器在每次使用刷新令牌时发出一个新的刷新令牌。这是最新的安全最佳当前实践中的建议，它使授权服务器能够检测刷新令牌是否被盗。...这就是应用程序是否知道刷新令牌的预期寿命无关紧要的原因，因为无论它过期的原因如何，结果总是相同的。

1.4K3 0

浏览器中存储访问令牌的最佳实践

问题是，如何在JavaScript中获取这样的访问令牌？当您获取一个令牌时，应用程序应该在哪里存储令牌，以便在需要时将其添加到请求中？...跨站脚本(XSS) 跨站脚本(XSS)漏洞允许攻击者将恶意的客户端代码注入到一个本来受信任的网站中。例如，如果用户输入生成的输出没有被适当清理，web应用程序的任何地方都可能存在漏洞。...浏览器会自动在受信任的网站的上下文中运行恶意代码。 XSS攻击可用于窃取访问令牌和刷新令牌，或执行CSRF攻击。...下面的摘录显示了如何在JavaScript中使用内存处理令牌的示例。...没有必要在每个API请求中都发送它们，所以请确保不是这种情况。刷新令牌必须只在刷新过期的访问令牌时添加。这意味着包含刷新令牌的cookie与包含访问令牌的cookie有稍微不同的设置。

3.3K1 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

针对此威胁，本文提出一套涵盖身份治理、行为监控与自动化响应的纵深防御框架，并提供可部署的PowerShell审计脚本、YARA规则及条件访问策略配置示例。...一旦用户完成授权，攻击者即获得长期有效的刷新令牌（Refresh Token），可在数月内持续访问敏感数据，且难以被常规安全监控发现。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...4.3 刷新令牌生命周期过长在未启用条件访问（Conditional Access）的情况下，刷新令牌有效期可达90天。即使用户更改密码，旧令牌仍有效，导致凭证轮换失效。...No启用已批准应用列表：Enterprise applications → Consent and permissions → Allow only approved apps5.1.2 缩短令牌生命周期通过条件访问策略限制刷新令牌有效期

2671 0

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

&session_state=...用户一旦粘贴提交，攻击者服务器立即捕获此 code，并用其向微软令牌端点（/token）兑换长期有效的刷新令牌（refresh token）和访问令牌（access...信息框：OAuth 2.0 授权码模式简析（供技术读者参考）OAuth 2.0 是现代 Web 应用实现第三方登录与 API 访问的核心协议。...更严峻的是，授权一旦授予，持久有效。除非管理员手动撤销，否则即使用户更改密码、登出所有设备，攻击者仍可通过刷新令牌持续获取新访问令牌。微软文档明确指出：密码重置不会使 OAuth 令牌失效。...理想界面应包含：应用开发者名称与验证状态（是否经过微软认证）权限列表的通俗解释（如“读取您的所有邮件”而非 Mail.Read）风险等级标识（如“此权限可访问公司通讯录”）一键撤销历史授权的入口目前，Google...在 Microsoft 账户中，路径为：安全 → 高级安全选项 → 第三方应用访问权限。

1481 0

开放授权之道：OAuth 2.0的魅力与奥秘

这些是 OAuth 2.0 中一些基础概念和授权方式的解释，有助于理解在不同场景中如何进行身份验证和访问控制。在实际应用中，选择合适的授权方式取决于安全性和应用需求。...刷新令牌（Refresh Token）：刷新令牌用于获取新的访问令牌，通常在访问令牌过期时使用。刷新令牌有更长的生命周期。生成令牌：访问令牌可以通过授权码授权、隐式授权等方式生成。...API访问控制: 在微服务架构中，OAuth 2.0可以用于限制和控制微服务之间的API访问。每个微服务可以充当资源服务器，并通过OAuth 2.0来授权其他服务访问其受保护的资源。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务，例如使用Google Drive API或Microsoft Graph API，以实现对云存储和办公应用的访问。...成功案例： Google API: Google使用OAuth 2.0来允许第三方应用程序访问用户的Google服务，例如Gmail、Google Drive等。

8921 1

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...token）或刷新令牌（refresh token）泄露给攻击者控制的应用。...攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。这一变化对企业的安全边界提出了全新挑战。...攻击者随即用该授权码向/token端点交换访问令牌与刷新令牌：POST https://login.microsoftonline.com/common/oauth2/v2.0/tokenContent-Type

1931 0

深度解读-如何用keycloak管理external auth

简单来说，以google授权为例，一般就是通过用户授权页面登录google账号，再跳转用code换取到相应权限的token，就可以代表用户去发起一些google api的请求。...最好能有一套通用的解决方案来解放双手，今天我们就聊聊如何用keycloak实现一套通用的身份验证和授权管理方案。提前说明，无法本地复刻的技术方案不利于理解，也不利于方案探讨。...，就是我们常见的google授权确认页面 .add_extra_param("prompt", "consent") // 允许应用程序获得长期有效的访问令牌（accessToken）和刷新令牌...一般accessToken都有过期时间，如果没有有效的refreshToken来刷新accessToken，就会有accessToken失效后还要用户再登录的尴尬局面-_-!...这里也能看出为啥需要oidc协议，其实就是抽象化，提供了一种安全、标准化和可扩展的身份验证和授权协议。它简化了应用程序中的身份管理和访问控制，提供了一致的用户登录体验，并提高了应用程序的安全性。

2.2K3 0

云邮箱钓鱼攻击趋势与企业防御体系重构

值得注意的是，攻击成功后的横向移动成本极低——一旦获取有效会话令牌或MFA绕过权限，攻击者可直接访问企业通讯录、日历、OneDrive/Google Drive文件乃至财务审批流程，造成数据泄露、商业欺诈甚至供应链污染...（3）如何构建可落地、可度量、可持续演进的企业级防御体系？...（2）线程劫持（Thread Hijacking）：攻击者监听公开论坛或GitHub Issue中企业员工的邮件地址，随后伪造同一邮件主题下的回复，插入钓鱼链接。...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...关键措施包括：自动化会话吊销：通过API批量注销用户所有活动会话；凭据紧急重置：强制更改密码并撤销刷新令牌；行为回溯：利用审计日志定位首次异常活动时间点。

2251 0

django-auth_从django-social-auth迁移到python-social-auth

最近，我将集成了Google OAuth2的应用程序从django-social-auth移植到python-social-auth 。这是我注意到的一些移植文档中未提及的内容。 ...（请注意，默认值是PSA Django应用程序的简称，因为完整路径是social.apps.django_app.default 。） .../manage.py migrate 刷新访问令牌 (Refreshing an Access Token) The old way to refresh an access token was...the following line of code: 刷新访问令牌的旧方法是以下代码行： useruser .. social_authsocial_auth .. getget...在DSA中， UserSocialAuth实例的tokens属性用于返回令牌字典，其中包含诸如access_token之类的键。现在，它直接返回访问令牌。

1K3 0

点击加载更多

分享一篇详尽的关于如何在 JavaScript 中实现刷新令牌的指南

基于Google云服务滥用的新型钓鱼攻击机制与防御策略研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

如何在 Python 测试脚本中访问需要登录的 GAE 服务

Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Django REST Framework-基于Oauth2的身份验证（一）

从0开始构建一个Oauth2Server服务单页应用

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于云原生信任机制的钓鱼攻击机理与防御体系研究

Jenkins 支持 Github APP 身份验证了

从0开始构建一个Oauth2Server服务发起认证请求

浏览器中存储访问令牌的最佳实践

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

ConsentFix浮出水面：当“同意”成为攻击入口，你的邮箱早已不是你的邮箱

开放授权之道：OAuth 2.0的魅力与奥秘

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

深度解读-如何用keycloak管理external auth

云邮箱钓鱼攻击趋势与企业防御体系重构

django-auth_从django-social-auth迁移到python-social-auth

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐