我知道openId connect可以发出一个Id令牌,客户端(依赖方)可以使用该令牌对最终用户进行身份验证。但是如何使用它来保护资源服务器不被客户端冒充呢?(我认为这个问题与非常相似)
例如,有一个SPA(android + webAPI),客户端(Android app)实现了openid connect隐式流程,并将直接使用访问令牌与资源服务器(Web应用程序首先将最终用户重定向到op
浏览 9提问于2017-06-12得票数 5
回答已采纳
考虑以下场景:用户使用OpenID连接登录到客户端(门户),我们的客户端希望访问通过OAuth 2.0保护的不同服务器上的资源服务器(由后端服务API公开)上的资源("read")。将自定义“读取”范围添加到OpenID连接并使用接收到的访问权限(!)是一种合法的方法吗?访问需要“读取”作用域的受保护API的令牌?
浏览 0提问于2016-03-10得票数 2
回答已采纳
下面是我提出的体系结构:
首先,我考虑使用OAuth2.0和OpenID连接协议,其中Laravel是OAuth2.0客户端( OpenID连接依赖方),受保护的微服务是资源服务器。OAuth2.0用于授权对受保护资源的访问,可以使用访问令牌(和刷新令牌),而O
浏览 5提问于2021-03-05得票数 1
回答已采纳
我正在编写一个OpenID后端,我想使用来保护它。我一直在阅读文档,但我仍然对应用于每个API请求的过程感到有点困惑。Open ID Connect代码流显示为:
或者我是否应该将JWT id令牌作为cookie输出?通过这种方式,我获得了将来请求中返回的自包含id令牌,而不需要服务器
浏览 0提问于2017-12-04得票数 4
我不太明白为什么oauth2用于自动化,OpenID连接用于身份验证。
授权服务器在成功地authenticating资源所有者并获得授权之后,向客户端发出访问令牌。此外,我一直读到OpenID连接是建立在Oauth2上的,以便为Oauth2提供身份验证机制。是对的吗?
浏览 3提问于2017-11-23得票数 1
回答已采纳
OpenID连接核心规范中有几个重要的定义是指人工参与者,乍一看,OpenID连接似乎只适用于有人工参与者的情况,但实际上并非如此。OpenID连接核心规范使用了OAuth 2规范定义的几个术语,这些术语支持无需人工参与的交互概念:资源服务器:承载受<em
浏览 0提问于2018-03-04得票数 1
1回答
我想开发一个本机应用程序(用于移动电话),它使用从资源API访问受保护的资源。正如在中定义的那样,我的客户机的类型是public。在中,讨论了客户端的模拟。在我的示例中,资源所有者通过用户代理向授权服务器提供其凭据,从而授予客户端授权。本节讨论授权服务器:
应该利用其他方法保护资源所有者免受此类潜在恶意客户端的侵害。例如,授权服务器可以让<em
浏览 0提问于2016-07-03得票数 3
我很难理解OpenID连接演员/角色。我是用SAML来的。在我熟悉的场景中,Service是一个具有受保护资源的web应用程序,身份提供者服务器是用户进行身份验证的地方。对于SAML,典型的客户端是web浏览器,尽管SAML也有ECP配置文件,其中可以使用非浏览器客户端(例如本机应用程序)。我理解所有这些部分是如何工作的,以及它们的各种流程。我试图将同样的理解应用于OpenID连接。我的理解是,Op
浏览 1提问于2015-05-06得票数 2
回答已采纳
如果我查看隐式流,步骤之一是用户向授权服务器验证,然后发出访问令牌。那么,为什么我们仍然需要OIDC和ID令牌呢?如果您只有OAuth2而没有OIDC,您将如何进行身份验证?
浏览 0提问于2019-09-10得票数 6
回答已采纳
考虑到HTTP上的通信使用公钥钉扎防止MiTM攻击
通过在基本访问身份验证上使用盐渍挑战响应认证机制 (SCRAM)并随后作为每个请求的令牌,安全性是否得到提升?
浏览 0提问于2018-07-03得票数 5
我正在做一项服务,我想保护端点免受未经授权的访问,但我不想处理用户管理。这就是我如何找到的OpenID连接,我只想使用它作为标识层。但是我有点迷茫了,但是我得到了授权。对于授权,我希望有一个特定于应用程序的基于角色的逻辑,它将在我的服务器上运行。我看到了一些授权代码流的示例,但在这些示例中,身份验证和授权是由具有身份验证和授权端点的同一服务器完成的。就像我想象的,在这种情况下,流看起来会像这样
未经过身份验证的用户试图访问受保护的资源
浏览 0提问于2019-11-08得票数 0
我试图了解OAuth2.0隐式流(使用OIDC)如何与一个相当简单的SPA/Mobile客户机(又名客户端)和我的REST Api (又名资源服务器)一起工作,并创建新的帐户。但是我一直读到的所有例子都是在这些Auth服务上创建的'accounts‘(这是必需的,我也理解),但是在我的服务(我的资源服务器)上没有创建任何东西。那么,谁能解释一下他们是如何使用隐式流和..。当一个令牌(或者更确切地说,当OpenID连接</em
浏览 1提问于2016-09-25得票数 1
回答已采纳
现在,我已经阅读了许多关于这方面的不同的编写,但对于OpenID连接在OAuth 2.0之上提供的主要价值,我仍然不清楚。我的理解是:
当通过OAuth 2.0流接收访问令牌时,客户端确实知道授权服务器对用户进行了身份验证。似乎OpenID连接只是添加了用户信息的ID令牌,但是这些信息可能是访问令牌的一部分,或者可以通过受保护的资源(比如单独的userDetails资源)获得。对受保护资源的访问作为
浏览 3提问于2015-11-26得票数 8
3回答
我已经阅读了大量关于OAuth和OpenID连接的文章,但这个问题专门涉及OAuth2资源所有者密码授予(又名OAuth2资源所有者凭据授予,又名OAuth2密码授予)。一些资源(比如贾斯汀·里奇的"OAuth2 in Action“一书)说,不使用OAuth2资源所有者密码授予进行身份验证()--参见书中的6.1.3节。资源所有者密码授权作为认证成功的本质证据?我对资源所有者密码授予流的理解是,最终用户将用户名和密码提供给受信任的客
浏览 7提问于2017-11-23得票数 6
如果我想实现一个可以使用多个通用授权服务器的资源服务器,如何确保我的资源服务器能够验证来自不同服务器的这些访问令牌?authorization code flow,最终从auth服务器获得一个访问令牌,然后将其发送到资源服务器,以获取属于特定用户的资源,该资源服务器授权客户端代表用户获取资源。这不仅仅是我打算支持的OAuth授权
浏览 4提问于2022-09-06得票数 0
回答已采纳
我的问题是:
从MVC站点的角度来看,如何在此安全设置的基础上保护我的控制器和视图?我通常会使用[Authorize]属性作为标识的一部分。到API的连接(凭据/令牌)分别存储在MVC站点数据库中,并作为服务器端执行API调用的“全局”方式使用。
浏览 0提问于2019-02-21得票数 0
有些微网络是由Zuul网关支持的,它们都是由Security OAuth2保护的。设想如下:所有支持的应用程序都是OAuth2资源服务器。一个应用程序正在作为OAuth2授权服务器(UAA)运行.security: resource:
浏览 1提问于2019-07-26得票数 0
回答已采纳
我想在Code中使用redirect_uri作为动态参数,但出于安全原因,我知道redirect_uri必须是静态的。如果我实现PKCE流并保留对client_secret参数的验证,那么使用动态redirect_uri会更安全吗?在我看来,我将添加一个新的身份验证步骤(使用PKCE)。
浏览 6提问于2022-08-08得票数 1
回答已采纳
1回答
客户端应用程序将使用act来允许用户授予访问受保护资源的权限-在本例中为OpenID。在此过程中,客户端将在访问令牌中获得所需的声明,还将获得子(或主题)。受保护的API终结点,例如: /users/{ UserId }/personaldata将确保访问此终结点的客户端的ClaimsIdentity包含对正确值的sub的声明,而且还存在“UserId”,我的问题是:如何在集成测试中模拟一个人?
我可以创
浏览 10提问于2018-02-21得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
