1回答
假设我有一个带有Reddit OAuth2身份验证的android应用程序。我用我的客户id发起授权请求,用户接受同意。现在我得到了授权码,它将通过HTTP请求在我的服务器中交换为令牌。这个过程将保护我的客户端秘密,因为它在我的服务器中,但它实际上不是这样的。任何人都可以通过反编译从应用程序中获取客户端ID,并向reddit发起授权请求,并从我的服务器交换令牌代码。如何保护API免受这种误用(或攻击)? 有没有什么方法可以让我的应用程序接口只接受来自我的应用程序的请求,
浏览 18提问于2021-07-20得票数 0
1回答
在标识服务器中,我们注册了客户端应用程序,对于代码授予类型,我们告诉您这将是我们的重定向URL,即https://someserver:port/。但是,spring和其他文章建议将URI重定向为{baseUrl}/login/oauth2/code/{registrationId}。如果我在标识服务器中将重定向URI设置为https://someserver:port/,那么{baseUrl}/login/oauth2&
浏览 2提问于2021-04-07得票数 0
回答已采纳
1回答
现在,我需要保护从JSESSIONID不能持久化的地方发生的REST API调用,所以我希望将从联邦成员获得的SAML断言交换到JWT,以便提供回客户端,以便可以在Authentication header或者,关于如何使用SAML保护REST API,可能还有另一个我不知道的选择。
谢谢!
浏览 19提问于2018-02-13得票数 0
我正在尝试交换我收到的授权代码,但没有成功。我使用手动方式省略重定向url:当这个url被激活时,它将把用户带到授权屏幕,如果用户授权应用程序,它不会重定向,而是打印一个授权代码,如:
输入此代码以完成此过程。Goo
浏览 2提问于2016-11-14得票数 0
适当的范围已经得到谷歌的批准: scope=此时,我们有了客户端id、客户端密码和代码。使用的语言: VB.NET和第一个URL是使用webbrowser对象调用的。
浏览 5提问于2017-07-14得票数 0
应用程序应该允许使用用户名和密码进行基本登录,在用户登录后,所有后续API调用都将通过ids和密钥进行身份验证。我引用的是。我无法像这样执行用户名/密码身份验证。("Loging Success")
router.post('/
浏览 19提问于2016-06-18得票数 0
1回答
例如,像"getOrders“这样的api将返回与已登录的实体相关联的订单。
使用与实体关联的用户名和密码进行身份验证。
浏览 7提问于2021-08-25得票数 0
回答已采纳
2回答
OAuth澄清
、、
在web前端客户端的情况下,我能想象将一个api_key和一个api_secret存储在将承载此客户机的服务器的env变量中吗?因为在某些情况下,用户没有登录,但有些服务仍然需要使用,但同时我只希望我的已知客户端( web前台和移动应用程序)能够访问这些服务(搁置API网关解决方案,或者其他API屏蔽,这可能会增加另一个针对DOS对我的应用程序的授权(访问我的API)
从API的角度来看,我们只想确保传入的请求来自承载应用程序的服务器。最简单的方法是基于下面的授权代码流
浏览 7提问于2022-04-18得票数 2
回答已采纳
为什么Spring OAuth2授权端点是受保护的,并且只有经过身份验证的用户才能访问,正如在“配置端点URL”下面所描述的那样
按照我对OAuth2授权代码授予的理解,对授权端点的调用应该返回一个对话框经过身份验证的用户以后可以从令牌端点检索访问令牌(根据上面的描述,该令牌端点不受保护)。
浏览 2提问于2016-08-22得票数 1
回答已采纳
2回答
我正在为我的rails应用程序创建API。我正在尝试不同的身份验证可能性。谁能给出一个使用OAuth进行身份验证的简单示例?
浏览 4提问于2013-05-12得票数 2
回答已采纳
我正在创建一个移动应用程序和一个网络api。移动应用程序将使用所获得的令牌访问web。
本机客户端无法找到web。
浏览 5提问于2017-07-07得票数 1
根据Wordpress开发者API,我们可以使用API添加新的关注者,但是查询参数不显示任何电子邮件地址。
是否可以通过API添加新的追随者(电子邮件订阅者)?如果是的话,任何例子都将是非常感谢的。
浏览 0提问于2017-02-13得票数 -2
回答已采纳
我在Lumen微框架中使用OAuth 2身份验证。现在我使用的grant_type值是password。如果我使用的是不同的东西,它会抛出unsupported_grant_type。我想知道使用grant_type的目的是password
浏览 0提问于2017-07-12得票数 7
回答已采纳
在paypal发出代码并重定向到receiving的/oauth2/idpresponse端点的那一步之后,定位符应该用来交换访问令牌的代码,我收到的是"Exception processing authorization下面是我用于openid连接的端点:https://www.sandbox.paypal.com/signin/authorize https://api.san
浏览 0提问于2019-06-14得票数 4
我已经配置了Oauth2来保护一些rest端点,还有一些没有任何身份验证。我为最终用户和管理员提供了一些端点。
浏览 3提问于2018-09-13得票数 1
2回答
使用OpenId连接保护API
、、、、
我有几个REST,我想用一个联邦授权服务器来保护这些API。这个页面:建议仅使用OAuth2不足以进行身份验证,应该使用OpenId连接扩展来使其正确。然而,我觉得OIDC所做的仅仅是定义一个身份端点以及相关的范围和声明。如果我不需要这些身份声明,那么使用普通的OAuth授权代码来验证用户和保护资源有什么问题呢?或者,OAuth2仅用于将访问权限委托给代表用户使用的客户端应用程序(这不是我使用的cas)?
谢谢你的投入!
浏览 5提问于2020-05-26得票数 0
回答已采纳
AllSites.Write权限:现在,我试图导航到浏览器控件中的以下URL:
URL = "https://login.microsoftonline.com/" + Tenant + "/oauth2相同的登录流适用于稍微不同的范围(Sites.ReadWrite.All),但后来我发现图API没有公开SharePoint列表项附件,并决定返回到遗留的SharePoint REST。
浏览 2提问于2021-05-06得票数 0
回答已采纳
我有一个应用程序,我想让用户使用我的wordpress站点的用户信息登录到该应用程序。所以用户点击登录按钮,一个新的窗口弹出并由wordpress站点打开。在用户输入我的wordpress站点的用户名和密码后,用户应该登录到移动应用程序。
浏览 0提问于2016-11-24得票数 0
我有由oAuth2保护的spring boot应用程序,只有当执行器端点不安全时,我才能从spring boot管理访问应用程序。我已经检查了github上的安全示例,即使那里的/health端点不安全。有没有办法从spring boot admin访问带有由oAuth2保护的执行器端点的spring boot应用程序?
浏览 0提问于2017-07-05得票数 10
我已经阅读了很多关于Google API access和OAuth flow使用它的文档,但我似乎并没有让它在我的脑海中工作,所以我想先得到一些帮助,以便对它的工作原理有一个清楚的了解,然后我可以使用相应的API对它进行编码。我想要实现的是为运行在PC上的Java应用程序提供特定的Google用户数据,比如通过Google Latitude API进行本地化。我已经向Google API控制台注册了我的应用程序,并启用了Google Latitude模块。
浏览 0提问于2013-01-07得票数 1
云服务器
ICP备案
云直播
腾讯会议
实时音视频
腾讯云开发者
