Xamarin.Forms OAuth令牌身份验证
是一种用于实现用户身份验证和授权的开发技术。它通过使用OAuth协议来进行用户的认证和授权,并且可以与Xamarin.Forms框架无缝集成。
OAuth令牌身份验证的分类:
- 授权码模式(Authorization Code Grant)
- 简化模式(Implicit Grant)
- 密码模式(Resource Owner Password Credentials Grant)
- 客户端模式(Client Credentials Grant)
优势:
- 安全性高:OAuth令牌身份验证使用令牌来进行用户身份验证和授权,避免了直接传递用户的敏感信息。
- 灵活性强:OAuth支持多种不同的授权模式,开发者可以根据具体需求选择合适的模式。
- 可扩展性好:OAuth可以与各种第三方身份提供商(例如社交媒体平台、企业身份提供商等)集成,方便用户使用已有的身份进行登录和授权。
- 适用性广泛:OAuth令牌身份验证广泛应用于各种移动应用、网站、API等场景,为用户提供便捷的登录和授权方式。
应用场景:
- 移动应用:Xamarin.Forms OAuth令牌身份验证可用于移动应用中,为用户提供便捷的登录和授权方式,如社交媒体登录、第三方账号登录等。
- 网站应用:网站可以使用Xamarin.Forms OAuth令牌身份验证来实现用户的登录和授权,如使用社交媒体账号登录、企业身份提供商登录等。
- API接口:如果开发了一个API服务,可以使用Xamarin.Forms OAuth令牌身份验证来保护API,仅允许经过授权的用户访问API接口。
腾讯云相关产品: 腾讯云提供了一些与OAuth令牌身份验证相关的产品和服务,如:
- 腾讯云API网关:提供了强大的API管理和安全功能,可以用于保护和管理OAuth令牌身份验证的API接口。
- 腾讯云COS对象存储:用于存储和管理用户上传的文件和数据,可以与OAuth令牌身份验证结合使用,控制用户对存储内容的访问权限。
- 腾讯云云数据库MySQL版:提供了可靠的云端数据库服务,可以存储和管理与OAuth令牌相关的用户信息和令牌数据。
以上是对于Xamarin.Forms OAuth令牌身份验证的概念、分类、优势、应用场景以及腾讯云相关产品的介绍。
相关·内容
1回答
我的系统工作如下;
我有一个ASP.Net RESTful API服务器,它包含一个用户数据库。我还有一个Xamarin.Forms应用程序,有一个注册和登录页面。
我想要的是能够使用社交IdP对登录进行身份验证,然后,如果该用户以前没有登录,请在我的本地数据库中注册该用户。
我一直在阅读如何使用OAuth连接实现OpenID 2.0,以使用社交IdP验证我的用户,然而,我似乎无法围绕它展开讨论。从我所读到的情况来看,我不应该使用访问令牌进行身份验证,因为我知道ID令牌是用来进行身份验证的,但是,我也看到ID令牌的唯一目的是客户机。
那么,我的问题是,如何确保对我的ASP.Net服务器的调用是
浏览 0提问于2018-11-14得票数 0
回答已采纳
在现代SAML/OAuth/OIDC方法中,我很难理解刷新令牌流的作用。
我理解身份验证是关于证明用户是他们所说的人,而授权则是证明用户能够访问任何特定的资源。我还理解刷新令牌可以用来处理这两种情况。
我的问题是,刷新/访问令牌流如何适合OAuth2.0和OIDC这样的身份验证/授权方法?它是这些方法的子集,还是它们有时使用的可选技术?或者它们与菠萝和橘子没有关系,就像比较了橘子一样?
当涉及到使用刷新令牌流将身份验证构建到系统中时,它不被视为OAuth或OIDC,除非它是构建为的,对吗?
编辑:更简洁一些-- OAuth似乎是一种“完整”的身份验证方法。刷新令牌流也被认为是与OAuth一起使
浏览 6提问于2022-04-07得票数 0
1回答
实际上,我使用NodeJS和express开发了一个restfull服务器。为了保护我的API,我已经实现了oauth2协议。我想添加Facebook身份验证,但我无法将facebook身份验证与本地身份验证集成在一起。
server.js
router.route('/oauth/local')
.post(oauth2Controller.token);
router.route('/oauth/facebook')
.get(passport.authenticate('facebook-tok
浏览 7提问于2015-02-27得票数 1
我的项目是用于安卓和iOS的Xamarin.Forms PCL。当前阶段是:我能够获得LinkedIn授权(使用Xamarin.Auth - OAuth2Authenticator),并从LinkedIn - Android项目中获取用户信息。
我想做的是:授权后,使用FireBase登录/登录到应用程序-换句话说,将OAuth与FireBase集成?
有可能吗?
我不确定我是否在朝着正确的方向前进,或者我的想法是否正确。
谢谢
浏览 0提问于2017-11-26得票数 0
1回答
我们正在尝试构建一组REST,这些API将通过使用OAuth提供程序生成的附加ID令牌进行身份验证。
我试图了解如何使用在OAuth“授权流”期间与重定向URL一起传入的状态令牌。
在以下情况下,状态令牌如何防止攻击:
假设:后端OAuth客户机(将为REST请求提供服务)有一个用户<->状态令牌的会话映射。
场景:
恶意用户试图使用我们的服务进行身份验证。
我们的服务使用状态令牌向OAuth提供程序生成身份验证URL。状态令牌附加到服务器上的恶意用户。
恶意用户在身份验证URL上进行身份验证,并在访问我们的服务器之前捕获重定向URL请求。
现在假设他设法强迫我们服务的有效用户导航
浏览 0提问于2019-02-05得票数 2
1回答
我正在开发REST。目前,我正试图使它的最低安全。我之所以问这个问题,是因为我找到的大多数关于这个问题的帖子都很旧。
为了进行身份验证,我发现了以下方案:
基本认证
AWS认证协议
OpenID
OpenID连接
OAuth伪认证
基本身份验证和AWS身份验证维护在第一次身份验证之后进行身份验证的请求,因为它们总是发送签名的请求。
我不明白OpenID和OAuth身份验证是如何维护(第二)请求的?是否需要根据每个请求使用OAuth/OpenID服务器检查访问令牌?这如何保护REST不接收已更改的请求?
任何其他的计划,你推荐,建议或阅读材料有关的主题,永远欢迎。
浏览 3提问于2013-02-12得票数 2
回答已采纳
我是OAuth 2.0的新手。我在授权代码授予上使用了BShaffer的OAuth PHP,并且我理解客户端应用程序可以将其OAuth令牌与其会话身份验证分开,也就是说,如果用户注销,访问令牌不会被撤销,而刷新令牌将用于在到期时获取新的访问令牌。
我正在使用OAuth用户凭据(或资源所有者)授予的API构建一个可信的应用程序。我的问题是:
既然我在OAuth用户证书授予中,那么OAuth是否应该持有所有的用户凭据,而仅仅是用户身份验证层(这将像一个SSO层)?
这样,我可以使用OAuth令牌作为会话令牌吗?
注销客户端应用程序后,是否应该撤销OAuth令牌?
浏览 0提问于2016-04-26得票数 2
1回答
我试图使用OAuth Facebook身份验证登录到Xamarin.Forms应用程序。
这是我的诱惑:
try
{
var auth = new OAuth2Authenticator(
clientId: Constants.FacebookAndroidClientId,
scope: "email",
authorizeUrl: new Uri("https://www.facebook.com/dialog/oauth/"),
浏览 6提问于2020-02-24得票数 0
2回答
我看到很多关于OAuth2和身份验证的困惑,所以我创建了这个问题,希望能澄清一些困惑。那么,让我们谈谈以下几点:
认证和授权有什么区别?
OAuth2意味着什么?
为什么OAuth2隐式流对于身份验证来说是不安全的,而对于授权仍然是安全的?(提示:访问令牌不绑定到特定的客户端)
OAuth2隐式流和Oauth2身份验证代码流有什么区别,什么时候使用哪种?
OAuth2身份验证代码流是否适用于身份验证?
您应该使用OpenID而不是OAuth2来进行身份验证吗?
为什么谷歌说他们的"OAuth2“框架可以用于身份验证和授权。
Google使用OAuth 2.0协议进行身份验证和授权。
h
浏览 0提问于2016-04-01得票数 18
回答已采纳
2回答
OAuth与授权
、、、
我构建了一个带有身份验证机制的RESTful服务。身份验证使用OAuth协议(使用来自oauth.net的库)。
我的服务是为学校管理服务。我现在只有教师小组。现在我也想添加学生面板,它几乎是一样的,但我不希望学生能够编辑东西,所以在这种情况下需要授权。
当老师想要登录时,他会向'authentcation.php‘发送post请求,如果字段是有效的,他将从OAuth获得身份验证令牌。学生们登录“authentication_students.php”
如何检查令牌是否具有在OAuth中使用授权编辑事物的权限?
浏览 3提问于2014-04-06得票数 0
回答已采纳
我见过一些帖子坚持认为OAuth与OpenID是正交性不同的东西,因为OpenID是关于用户身份验证的,而OAuth则是让第三方访问某些服务。
然而,我知道很多人无论如何,使用OAuth作为身份验证,如下图所示,维基百科称之为“伪认证”,但它似乎是一个有效的方式。与使用OpenID相比有什么缺点吗?如果OAuth可以进行身份验证,这是否意味着OAuth可以做OpenID所做的一切,但是OpenID不能做一些OAuth做的事情(比如访问服务)。为什么人们会使用OpenID而不是OAuth呢?
注:我是一个初学者,所以请原谅我,并指出如果我错过了一些基本的东西。
浏览 0提问于2011-10-19得票数 13
2回答
我有一个带有使用JWT的无状态身份验证模型的新SPA。我经常被要求将OAuth用于身份验证流程,比如要求我为每个请求发送“持有者令牌”,而不是简单的令牌头,但我确实认为OAuth比简单的基于JWT的身份验证复杂得多。主要的区别是什么,我应该让JWT身份验证的行为像OAuth一样吗?
我也使用JWT作为我的XSRF-TOKEN来阻止XSRF,但是我被要求将它们分开?我应该把它们分开吗?这里的任何帮助都将受到感谢,并可能为社区带来一套指导方针。
浏览 286提问于2016-10-07得票数 481
回答已采纳
1回答
我正在使用Spring为我们的移动应用程序开发一些RESTful服务。我成功地使用用户名和密码注册实现了Oauth2身份验证。用户可以使用用户名和密码进行身份验证。此外,我们的客户端希望使用他们的自定义令牌进行身份验证。它们有一个web服务,您可以发送令牌,并且响应是正确或错误的。
我的第一个想法是,我可以编写像/自定义登录这样的服务,并且该服务接受自定义令牌。在我的服务中,我可以使用外部服务检查此令牌,如果它是有效的,则调用oauth2身份验证并返回oauth2身份验证响应。
如何实现自定义身份验证oauth2?
浏览 4提问于2016-05-05得票数 0
回答已采纳
1回答
Web :授权或/和身份验证
、、、、
我创建了asp.net web项目。我需要添加授权或/和身份验证。我读过很多关于OAuth、SAML、JWT、HMAC等的文章,每次我看到作者都强调OAuth不是身份验证,您需要将authN与authZ区别开来。我有点困惑,因为我不明白:
当我需要使用身份验证(SSO,登录/密码)和何时授权(OAuth,令牌)的API?
HMAC、JWT是用于授权还是用于身份验证?因为它们是经过签名的,所以我可以将userid添加到此令牌中,使用类似于用户标识符。
authN工作流和authZ工作流有什么真正的区别?
浏览 7提问于2015-10-14得票数 0
回答已采纳
1回答
OAuth2.0用例
、、、、
我正在构建一个muli-tenant saas(software as a service) architecture。我必须为系统构建authentication system。
从我所研究的情况来看,我认为需要建立基于OAuth2.0的认证系统和使用JWT tokens的承载令牌。
在阅读了大量关于OAuth2.0如何构建OAuth2.0服务器的文章之后,我仍然对didn't understand full concept of OAuth感到困惑,也不清楚我是否需要它,或者我是否需要其他身份验证系统。
我的系统需要的是,我们将向所有客户提供一个SDK,每个客户端都有一个Appli
浏览 3提问于2016-05-02得票数 1
回答已采纳
我正在使用Xamarin.forms做一个适用于安卓、iOS和Windows Phone的应用程序。我需要实现登录与最常见的社交所有平台,我已经在网络Restsharp.Portable上找到。我很难理解如何使用这个库(它被正确地导入)来处理OAuth2请求。有没有人有什么可以帮助你的例子或指南?
浏览 1提问于2016-03-17得票数 0
我一直在使用Jenkins中的Git插件从GitHub存储库中提取源代码。我一直在使用UserName和密码进行身份验证。
然而,GitHub有
弃用通知: GitHub将停止对API的密码身份验证。现在必须使用API令牌对GitHub API进行身份验证,例如OAuth访问令牌、GitHub应用程序安装访问令牌或个人访问令牌,这取决于您需要对该令牌做什么。
因此,我需要更改身份验证,以使用oAuth令牌。
1>我在GitHub中创建了一个oAuth令牌
2>,然后在Jenkins,我创建了Secret Text作为全局凭据。(使用GitHub的oAuth令牌)
浏览 0提问于2019-12-17得票数 7
我在xamarin.ios本地应用程序中工作,我必须使用microsoft进行身份验证/登录,才能访问Microsoft或其他outlook。我已经在Azure active目录中完成了所有的设置,所以我已经尝试使用xamarin.auth来实现它,但是由于没有提供grant_type参数,这是不起作用的,并且抛出了一个invalid_grant和错误。是否有其他方式可以使用microsoft帐户进行身份验证?您能帮我在本机应用程序中实现.NET (MSAL)的微软身份验证库吗?我拿到了一些xamarin.forms样本,但我们需要在xamarin.ios里。我不熟悉xamarin.forms
浏览 3提问于2020-03-11得票数 0
我正在开发一个FB应用程序。该应用程序在画布页中进行身份验证,在加载页面时重定向到OAuth对话框。
if(!isset($data['user_id']) && $data['page']['liked']){ ?>
<script>
var oauth_url = 'https://www.facebook.com/dialog/oauth/';
oauth_url += '?client_id=XXXX';
oauth_url += '&redir
浏览 0提问于2012-05-08得票数 0
我正在尝试使用Restforce ()来建立与我的Rails应用程序的集成,使用OAuth2.0到SalesForce的API。
Restforce将初始化过程描述如下:
初始化
您使用的身份验证方法实际上取决于您的用例。如果您正在构建一个应用程序,其中来自不同org的许多用户通过oauth进行身份验证,并且您需要代表他们在他们的组织中与数据交互,那么您应该使用OAuth令牌身份验证方法。
如果您正在使用gem与单个组织进行交互(可能是在内部构建一些salesforce集成?)然后您应该使用用户名/密码身份验证方法。
OAuth令牌认证
client = Restforce.new :oau
浏览 1提问于2014-04-06得票数 6
回答已采纳
1回答
有没有办法将firebase身份验证作为提供者添加到我的自定义后端?对于我的自定义后端,我使用。Directus提供添加支持oAuth 2.0和openID连接()的身份验证提供程序。但我不知道firebase身份验证是否可以用作oAuth提供程序,我在firebase 中没有找到它。
我使用flutter作为前端部分
浏览 2提问于2021-10-27得票数 1
1回答
OpenId连接将身份验证添加到OAuth2协议中。OAuth2是一种用于授权的协议。但是,如果我只对用户身份验证感兴趣呢?在阅读了OpenId连接之后,您似乎在成功的时候同时收到了ID令牌和访问令牌。但如果我不在乎这里的授权。我可以省略协议中的访问令牌吗?如果我只对身份验证(例如SAML)感兴趣,那么是否有更好的协议可供使用?
浏览 0提问于2016-03-06得票数 8
1回答
我的flutter应用目前使用OAuth对用户进行身份验证。我正在使用资源所有者密码授予。我想在应用程序中添加生物认证(手指/面部id)。
在向仍需要在后台执行OAuth的应用程序添加生物识别身份验证时,应采用什么方法?我是否要将用户名和密码存储在一个安全的位置,并在后台使用它对OAuth进行身份验证?对于此场景,最安全的模式是什么?
浏览 3提问于2019-10-30得票数 0
1回答
我正在使用java库访问谷歌电子表格的oauth2身份验证。
我使用以下代码进行OAuth2身份验证:
credential = new GoogleCredential.Builder().setTransport(HTTP_TRANSPORT)
.setJsonFactory(JSON_FACTORY)
.setServiceAccountId(SERVICE_ACCOUNT_EMAIL)
.setTokenServerEncodedUrl("https://accounts.google.com/o/oauth2/token")
.setS
浏览 2提问于2013-02-26得票数 4
1回答
当用户提供正确的凭据时,我就是这样管理OAuth身份验证的:
protected function authenticated(Request $request, User $user)
{
return response()->json([
'token' => $user->createToken('my_app')->accessToken
]);
}
我尝试使用默认的Laravel身份验证(护照),它使用OAuth。我遇到的问题是,每次用户连接时,都会
浏览 4提问于2020-06-24得票数 1
回答已采纳
我不太明白为什么oauth2用于自动化,OpenID连接用于身份验证。
来自
授权服务器在成功地authenticating资源所有者并获得授权之后,向客户端发出访问令牌。
另一方面,根据代理或依赖方被重定向到某种身份验证页面,以便能够认证用户,不是吗?
此外,我一直读到OpenID连接是建立在Oauth2上的,以便为Oauth2提供身份验证机制。是对的吗?
浏览 3提问于2017-11-23得票数 1
回答已采纳
我正在使用firebase google身份验证来管理用户。此外,我必须使用日历API集成用户日历,现在firebase auth提供ID令牌、ID刷新令牌和oAuth令牌but not oAuth refresh token,由于这一点,我将不得不使用gAPI获得oAuth令牌和oAuth刷新令牌,但有没有方法使用这些令牌来创建firebase身份验证用户?我知道有方法可以使用signInWithCredential创建登录,但这需要ID令牌,而不是oAauth令牌。 更新 登录代码: const { client_secret, client_id, redirect_uris } =
浏览 32提问于2021-02-11得票数 1
回答已采纳
1回答
据我所知,oauth是身份验证协议的自然发展。
我大致理解进化论如下:
基本认证
曲奇饼
在这一点上,你想要把前面和后面分开。
oauth,openid连接。处理身份验证的集中式方式,并具有授权和身份验证服务器。
但我已经进入检查我每天使用的网站的要求,如社交网络,堆栈溢出,谷歌应用程序.令我惊讶的是,我没有发现任何标记或oauth重定向的踪迹。
为什么大型站点使用cookie进行身份验证?即使它们只是一个页面应用程序。是否有任何安全特性使cookie比令牌更安全?
你知道有什么大网站使用oauth来维护会话,而不仅仅是为了使用社交网络登录吗?
浏览 2提问于2022-08-18得票数 0
我很难为我的SPA应用程序找到合适的身份验证架构。
我们有
SPA ------OAuth Access Token---> Spring Boot Server
|
|
OAuth Authorization Code Flow
|
\|/
OAuth Provider
SPA能够从这个特定的oauth提供者检索OAuth访问令牌(只持续24小时)。让用户每24小时重新登录并不好,因此我们希望让spring服务器与用户保持更长时间的会话。当会话到期时,我们可以再次要求用户对OAuth提供程序进行身份验证。
此OAuth提供程序不提供刷新令牌.
SPA一旦通过身份验证,就应该与我的
浏览 3提问于2021-02-06得票数 0
我已经有了工作服务,并希望使用Apigee向它们添加OAuth v2身份验证。目前,我的服务使用REST身份验证。这意味着访问令牌基于基本授权生成,然后保存在授权头中的每个请求中。
我想通过我的服务对用户进行身份验证。根据“远地点”文件,这应该是可能的。但是我不知道在OAuth之前还是之后,Apigee应该如何从我的服务中获得访问令牌?如果需要,它可以存储访问令牌并在后台刷新它吗?
浏览 1提问于2014-08-19得票数 0
回答已采纳
1回答
我是OAuth和OpenId的新手,在阅读了多个页面和信息之后,我仍然一点也不自信。
我的目标是创建一个与BE通信的iOS应用程序。我需要iOS应用程序对用户进行身份验证以访问他们的资源。
阅读OAuth,解决方案似乎是直截了当的。只需使用Authorization Code Flow with PKCE使应用程序具有一个Access Token。通过这种方式,我授权我的iOS应用程序访问用户的数据。当iOS应用程序使用访问令牌调用https://example.org/user时,资源服务(my服务器)可以获取访问令牌并调用内省API来知道访问令牌绑定到哪个用户,并返回正确的用户数据。由于授
浏览 0提问于2019-09-08得票数 1
回答已采纳
我们目前的产品支持SAML和基于Oauth2.0的authentication.Customer有Azure,需要使用开放ID连接进行身份验证。
身份验证将主要用于Api调用,客户系统将在其中调用我们产品中的API。
下面是问题--我们是否可以使用SAML在webservices中进行身份验证--在产品中需要哪些更改才能将其从Oauth2.0升级到基于开放ID的身份验证。
浏览 4提问于2020-02-12得票数 1
1回答
我们正在开发一个iOS应用程序,用户需要使用email+password (或手机号码)进行身份验证。我们的后端是由几个使用Akka-Http的微服务组成的。它需要快速、可伸缩、并发,并且authentication+authorization应该跨我们的多个服务工作。我正在尝试找出使用哪种身份验证方法。Akka-HTTP目前提供基本认证和OAuth2的部分实现。
所以一开始我们考虑的是基本身份验证(太简单,功能不够),Oauth1 (太复杂),所以我们转向了OAuth-2.0,因为它是一种标准。
然后我们考虑AWS Cognito,因为它结合了Oauth-2.0和OpenID连接,后者提供了
浏览 0提问于2016-02-02得票数 9
我正在尝试理解Oauth2对于一个应用程序接口的意义。要考虑的第一件重要事情是,客户端不会使用oauth2直接向应用程序接口进行身份验证。客户端使用公钥/私钥对进行身份验证,但客户端是终端用户的服务,然后可以使用oauth2进行身份验证。
我使用身份验证代码流,它在重定向uri中调用我的后端,然后创建一个包含代码、唯一id和oauth2提供者的临时表。所有这些都运行得很好。
这样做的目的是为了让客户端根据oauth2细节向应用程序接口发出创建用户的请求,我需要这样做才能将客户端的API键与该特定用户相匹配。问题是,对于授权代码流,我不知道客户端本身上的任何令牌或唯一id或代码。我是不是找错了地
浏览 0提问于2016-04-01得票数 0
2回答
基于oauth2的编程认证
、、、、
我们使用某个组织的API已经有一段时间了,但是现在他们开始使用OAuth2进行身份验证。我们的应用程序完全以编程方式使用它们的API。因此,现在我们必须使用OAuth2进行身份验证,这样我们才能再次使用他们的API。
我对这个身份验证过程有点困惑。是否有一种方法可以以编程方式使用OAuth进行身份验证?它说,在继续进行身份验证之前,当对用户进行身份验证时,如何仅从代码中实现此登录?还是您需要首先使用浏览器进行身份验证,然后使用访问令牌来处理来自应用程序的进一步请求。对于此场景,OAuth2身份验证的典型过程是什么?
编辑:只有一个用户是我们的应用程序用于访问他们的数据的帐户。该用户在其终端注册
浏览 0提问于2019-07-17得票数 1
回答已采纳
1回答
使用oauth进行身份验证
、、、、
我知道oauth是一种授权协议,但是当使用类似于开放ID连接之类的内容时,可以使用它进行身份验证。
我试图理解为什么我们需要在重定向url中添加一个额外的令牌来证明身份验证。本文介绍了为什么不能将访问令牌的拥有视为身份验证的一些优点。https://oauth.net/articles/authentication/
我的问题是:我们不能把重定向url上的登陆作为身份验证的证据,而不是像在开放Id连接中那样要求额外的ID令牌吗?
浏览 0提问于2022-10-04得票数 1
回答已采纳
我的目标是通过在服务器端的上使用一个服务帐户来获取谷歌的采购信息。
api需要oauth2身份验证。
因此,我创建了一个oauth2令牌,即client- -from . from,我是在服务器端的后端java spring应用程序中提供的。
GoogleCredentials googleCredentials = GoogleCredentials.fromStream(new FileInputStream("src/main/resources/client_secret.json")).createScoped("https://www.google
浏览 10提问于2022-05-09得票数 1
回答已采纳
1回答
OAuth最佳实践
、、、
我正在编写一个应用程序,并使用OAuth进行身份验证和获取用户的电子邮件。我正在成功地进行身份验证,但不确定如何管理会话。我想保护我的资源,但我不认为我想要重新认证每次用户进入一个新的页面。
电流
用户单击“使用谷歌登录”
用户被重定向到Google以批准请求
服务器在用户批准后获得令牌
服务器使用令牌获取电子邮件。
现在怎么办?
我将OAuth2用于支持它的服务(Facebook、Google),而OAuth1a用于那些不支持它的服务。
在用户访问站点期间,我很难找到返回用户和维护身份验证的流程。是否有任何关于维护会话或返回用户的最佳实践的好资源?
浏览 1提问于2013-06-20得票数 0
我正在使用Doorkeeper gem在Rails应用程序中提供OAuth。客户端是Chrome扩展。
我在doorkeeper.rb中注释掉了'use_refresh_token‘,并将'access_token_expires_in’设置为1分钟。我认为这会迫使客户端在一分钟后重新进行身份验证。但是,无论是否存在use_refresh_token,重新身份验证都会自动发生。
在存在use_refresh_token的情况下,每次访问令牌过期时,都会向'oauth_access_tokens‘中添加一个新行。没有新行添加到‘oauth_access_grants’中。
浏览 0提问于2013-04-21得票数 1
回答已采纳
3回答
我认为OAuth基本上是一种基于令牌的身份验证规范,但大多数时候,框架表现得好像它们之间有区别一样。例如,如下图所示,询问是使用基于OAuth的身份验证还是基于令牌的身份验证。
这不是一回事吗?由于两者在实现中都包含了令牌,那么到底有什么不同呢?
浏览 5提问于2016-01-14得票数 72
回答已采纳
2回答
如果您有一个需要用户注册的Android应用程序,并且希望允许用户通过Google登录,您将如何处理这个问题?
,我不想让Google+在这里的讨论之外。我们也不使用用户凭据访问Google+,我对Google+.的社交功能的其他访问也不感兴趣。
似乎有几种选择:
使用OAuth2.0进行身份验证
记录在页面中
这并没有真正提到Android,但它(部分)是基于OAuth2访问令牌的,但更重要的是基于JSON令牌id_token的验证。
这种对用户进行身份验证的方式还需要启动一个WebView,允许用户登录到他们的google帐户,并对id_token进行相当复杂的验证。
使用OAuth2 /
浏览 3提问于2013-07-13得票数 7
回答已采纳
我正在OAuth上开发一个Twitter应用程序,我想在将来提供发布更新的能力。
基本计划是每小时运行一次脚本,查找需要发布的任何更新,然后对适当的用户进行身份验证,并使用statuses/update API调用。
但是,我不知道如何使用OAuth来实现这一点。我显然不想存储他们的用户名和密码--这与最初使用OAuth的目标不符。
但是,如果这是唯一的选择,那么我如何不存储他们的密码的明文副本,而仍然对他们进行身份验证呢?
浏览 4提问于2009-05-22得票数 0
回答已采纳
1回答
阅读一些关于Oauth 2流中刷新令牌的目的的类似文章,它们对于用户参与的身份验证(如用户名和密码)是有意义的,但是对于Oauth2客户端凭据流来说,为什么要冒使用刷新令牌的风险呢?
是否系统压力较小,或者在新的访问令牌过期后使用刷新令牌获得新的访问令牌比通过客户端id和客户端秘密身份验证获得访问令牌更快?
引用的帖子:
浏览 0提问于2018-12-26得票数 1
回答已采纳
我想使用会计API (Java)对我的QuickBooks在线帐户进行身份验证,这样我就可以创建发票。
我已经在另一个应用程序中成功地做到了这一点。在这种情况下,应用程序有一个前端界面,允许任何人登录他们的帐户,所以我使用OAuth进行身份验证。
在这种情况下,我只是在我的服务器上有一些代码,这些代码将在我的QuickBooks帐户中创建一个发票,但是这个代码是私有的,没有与它相关的接口。它是由只有我控制的某些业务逻辑触发的。为此,我创建了一个新的Intuit应用程序,它有自己的密钥。
我还需要通过OAuth过程来验证自己吗?如果我这么做了,那就太没必要了。例如,要使用OAuth进行身份验证,
浏览 2提问于2015-04-24得票数 1
回答已采纳
我已经看到了phonegap身份验证和基于JS的服务器应用程序身份验证。我正试图为我的J2EE电子商务应用程序构建一个phonegap应用程序。J2EE应用程序为我的phonegap应用程序提供了一个基于rest的api。我想使用OAuth身份验证,这样用户就会在移动屏幕上提示进行身份验证,这是如何实现的?
我了解通过JS进行的oauth身份验证,但我怀疑如何确保J2EE应用程序得到正确的经过身份验证的用户请求。
浏览 1提问于2015-02-11得票数 1
回答已采纳
我对使用OAuth 2.0作为授权方法和使用OpenID连接作为身份验证方法感到困惑。
据我所知,OAuth 2.0只是一种授权方法。换句话说,这是请求一个ACCESS_TOKEN并接收这个ACCESS_TOKEN的过程,如下面的黄色椭圆图所示:(简化)
在OAuth 2.0客户端从授权服务器检索ACCESS_TOKEN之前,该服务器应该验证用户是否允许它,这是一个OAuth 2.0不关心的身份验证过程。
当OpenID连接包含在混合中时,它也允许一个身份验证方法,但据我所知,OpenID连接只是在JWT令牌中添加了一个“声明”,该令牌保存了使用该服务的用户的信息,如:电子邮件、名称
浏览 0提问于2018-07-17得票数 6
回答已采纳
2回答
我正在尝试将qwikcilver API集成到我的项目中。他们使用oauth1.0进行身份验证。我使用的是oauth1.0的 python lib。
下面是我的身份验证代码。
# Using OAuth1Session
oauth = OAuth1Session(client_key, client_secret=client_secret)
fetch_response = oauth.fetch_request_token(request_token_url)
{
"oauth_token": "Z6eEdO8MOmk394WozF5oKyuAv855l4M
浏览 4提问于2019-03-30得票数 0
1回答
场景:openid-基于连接的SPA社交登录。
案例1:在SPA中注册为OAuth 2.0客户端,向社会身份验证提供者(ex )注册。( Google) OAuth/OIDC的角色映射如下:
资源所有者=验证用户
Client = SPA
授权服务器=社会身份验证提供程序(例如。谷歌( Google)
Resource =社会身份验证提供程序(例如。谷歌( Google)
案例2:现在,让我们考虑使用IDaaS (ex )的SPA的社会身份验证的情况。Okta/Auth0)。IDaaS已经向社会认证提供商(如ex)注册了OAuth 2.0客户端。谷歌( Google)和
浏览 0提问于2018-11-08得票数 2
回答已采纳
我使用Sprint、security和JWT完成了一个示例应用程序,并定义了我的自定义身份验证和授权过滤器。在执行基本身份验证(传递用户名和密码)时,我得到了xxxx.yyyy.zzzz格式的JWT令牌,其中xxxx是头,yyyy是有效负载,zzzz是签名,每个部分都使用Base64URL编码器进行编码。我不明白的是,JWT与OAuth 2.0有何不同。在OAuth 2.0中,我们可以将2种类型的grant_types传递为“用户名”或“客户端凭据”&还需要传递客户端id、秘密id才能获得访问和刷新令牌。
请帮助澄清以下疑问:- 1) JWT比OAuth 2.0轻吗,因为它不包含刷新令
浏览 1提问于2018-11-20得票数 0
我们正在努力从Jira获取用户的身份验证令牌。此Auth令牌将用于进行API调用,以便为用户(我的代理)从Jira平台获取问题。为了获得这个Auth令牌,我获得了我的代理的用户名和密码,但是,在Jira中没有用于密码授予的API来获得Auth令牌。它们的所有OAuth身份验证也都是3LO (3条腿的OAuth,用户必须参与其中)。有没有更简单的方法来使用简单的用户名和密码来提取OAuth。 注意:我已经检查了基本身份验证功能以进行API调用,但它还需要代理的用户名和API令牌。我认为不可能为每个代理单独创建API令牌。
浏览 139提问于2021-01-07得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
