在使用PKCE时是否需要使用引用令牌?
在使用PKCE(Proof Key for Code Exchange)时,不需要使用引用令牌。
PKCE是一种安全协议,用于在授权码模式中防止授权码被中间人攻击窃取的漏洞。它通过在授权请求中使用随机生成的代码挑战和验证来实现。
引用令牌(reference token)是一种令牌类型,它并不包含具体的访问信息,而是通过引用链接到实际的访问信息。通常情况下,引用令牌用于提高性能和降低令牌传输开销。
在使用PKCE时,并不需要使用引用令牌。PKCE的主要目的是增加授权过程的安全性,引用令牌与此无关。使用PKCE时,仍然需要使用访问令牌(access token)来访问受保护的资源。访问令牌通常是基于OAuth 2.0协议生成的,并包含有关授权用户访问权限的信息。
腾讯云提供了丰富的云计算产品和解决方案,包括云服务器、云原生应用平台、云数据库、云存储等。具体推荐的腾讯云产品和产品介绍链接地址可根据具体需求进行选择,以满足云计算的各类需求。
相关·内容
Azure DevOps REST是否支持使用PKCE进行OAuth 2身份验证?没有明确提到任何关于PKCE的内容,但我想知道它是否还没有文档化,但已经得到了支持。
浏览 3提问于2021-11-25得票数 0
回答已采纳
如果有一个使用PKCE对我的服务器授权的移动设备,允许它获得一个access_token和一个refresh_token,那么我应该在多大程度上相信这个应用程序从现在起就可以使用refresh_token来获得access_token?同样的担忧导致了PKCE的发明也在这里发挥作用吗?
我之所以问这个问题,是因为当我在Auth2上玩一个Ruby库时,我发现这样做没问题,这让我很困惑。这个特殊的用例不是应该禁止refresh_tokens吗?
编辑:不确定这是否会是答案,但也许我们在这里假设(给定一个TLS连接),refresh_token被安全地发送回应用程序,只要应用程序直接与服务器对话,我
浏览 0提问于2018-12-03得票数 5
这就是我想要遵循的架构。
📷
来源:https://stackoverflow.com/questions/73075156/what-exactly-is-redirect-uri-in-google-oauth2-request-for-getting-authorization
我使用后端与授权代码交换令牌,然后通过set-cookie头将令牌发送回前端。
这种情况是否需要PKCE?我认为这里没有必要,因为客户端的秘密在Django服务器中是安全的,我只是想确认一下,因为我是这个领域的新手。
另外,我将在前端加密状态参数,并可能使用非对称密钥在后端解密它。
这些方法中是否存在安全漏洞?
浏览 0提问于2022-11-25得票数 0
回答已采纳
1回答
我目前正在做一个项目,其中IdentityServer4被用作授权/认证服务器。我们只有一个客户端(Angular)和几个基于资源的API (ASP.NET核心)。目前,我们使用代码流(PKCE),同时引用令牌,利用IdentityServer4提供的令牌内省端点。 同时使用PKCE和引用令牌是不是有点过分了?从API中请求始终调用IdentityServer4的令牌自检端点会向接收到的每个资源请求添加另一个请求。我们想知道使用引用令牌是否比仅使用具有普通访问令牌的PKCE具有任何安全优势。 谢谢!
浏览 23提问于2020-09-28得票数 1
回答已采纳
有几个使用oauth2登录Xero的.Net示例代码,但它们都可以在浏览器上使用( C#的大部分示例代码都是针对ASP.NET MVC的)。 我打算使用Xero Api开发一个桌面应用程序,但Xero官方教程说,移动或桌面应用程序应该使用PKCE flow,而不是使用ClientID/Secret方案。 在这个PKCE流程中,用户需要与浏览器进行交互以获得授权码。 我想知道是否有任何方法可以在不需要用户交互的情况下登录。
浏览 32提问于2020-09-07得票数 3
回答已采纳
1回答
为本地应用程序注入拨款
、、、
我有一些事情要澄清关于以下几点。规范说,
但是,由于隐式流不能被PKCE 保护,因此不建议在本机应用程序中使用隐式流。
为什么我们不应该使用隐式赠款类型的原因让我感到困惑。
据我所知,授权代码授予需要PKCE,因为它需要两个单独的调用才能获得访问令牌,并且我们需要确保这两个请求都由同一个应用程序完成。如果我错了,请纠正我。
现在,由于隐式授予类型不需要这样的2个调用来获得令牌,所以我认为我们并不真正需要PKCE。如果我错了,请再纠正一下。
这意味着“隐式流不需要被PKCE保护”。那么,为什么“隐式流不能被PKCE保护”已经成为避免将其用于本地应用程序的原因之一?
浏览 0提问于2019-03-23得票数 0
回答已采纳
我们使用PKCE的身份验证代码流来根据我们的本机应用程序(WPA)和一些web apis对用户进行身份验证。在我们的web-apis中有没有额外的方法来验证这个本地应用程序的身份,或者PKCE的身份验证码流对于这种情况是否足够安全? 提前感谢
浏览 18提问于2021-01-22得票数 1
回答已采纳
当使用带有XSS连接的网络消息响应模式规范进行无声身份验证时,如何防止攻击者利用XSS攻击注册“消息”侦听器并拦截授权消息(取决于流程的代码或令牌)?
在规范中,脱离简单模式,主窗口创建一个“授权窗口”iframe,并将该iframe的源设置为授权端点。如果对用户进行了身份验证,则授权窗口将使用HTML5消息传递API向主窗口发送消息。该消息包含代码流中的授权代码,或隐式流中的id_token (可能是访问令牌)。
如果攻击者成功利用XSS攻击,是否有任何方法阻止攻击者侦听message事件并拦截代码/令牌?
顺便说一句,Auth0支持web消息响应模式,这正是我考虑这个场景的原因。可以在单页
浏览 0提问于2019-08-02得票数 2
1回答
在研究OAuth 2.0时,我发现不再推荐隐式赠款:
为了避免这些问题,客户端不应在授权响应中使用隐式授予(响应类型“令牌”)或任何其他响应类型,例如“令牌id_token”和“代码令牌id_token",除非发出的访问令牌受到发送方的限制,并防止授权响应中的访问令牌注入。
(源OAuth 2.0安全最佳实践)
我正在研究OpenID (特别是Azure的)的实现,并注意到隐式流的OpenID概念是许多实现示例的基础。
我可以看到,隐式授予!=隐式流,然而,对各种场景的解释似乎表明,它的工作方式是相同的,而且不太清楚具体的差别是什么(至少对我来说)。
例如,隐性赠与和OpenID连接的
浏览 0提问于2019-10-11得票数 3
回答已采纳
2回答
我正在用a开发一个SPA应用程序,对于实现身份验证和授权的正确方法我有很多困惑。
首先,应用程序是一个第三方应用程序,这意味着我正在开发授权服务器和资源服务器。
登录应用程序的用户必须能够完全访问平台上的资源。
所以,我正在使用OAuth2.0来做这件事,我对协议的领域以及安全问题都有一些疑问。
第一个问题:
第一个问题是,是否应该实际使用OAuth来授权第三方应用程序。据我理解,这是一种委托协议,用于在用户同意的情况下,授予第三方应用程序对平台上用户资源的受控访问。这如何适合于一个第三方应用程序的上下文?在这种情况下,应用程序应该获得一个允许完全访问的访问令牌,对吗?
第二个问题:
因为这是
浏览 6提问于2020-02-21得票数 8
背景:有服务器后端和第三方登录的传统webapp应用程序。为此,我们在后端从第三方获得一个经过验证的id_token,使用它来识别系统中的一个帐户,并发出我们自己的会话cookie。我们不需要从第三方访问或刷新令牌,前端不需要看到id_token。
我们正在添加一个新的身份提供者(Apple),我们可以选择使用以下两种方法:
授权代码流(没有PKCE) &使用客户端秘密在后端进行令牌交换
使用response_mode=form_post隐式流,没有令牌交换,我们验证了id_token & nonce
隐式流似乎是安全的&更简单。我有什么理由要用代码流来代替吗?
注意:
浏览 0提问于2019-08-14得票数 3
回答已采纳
1回答
我在我的openID 4上使用静默刷新实现了IdentityServer连接授权代码流和PKCE,我有一个引用IdentityServer的核心API和一个角8前端和oidc-client.js。
当我不登录时,oidc客户机将我重定向到IdentityServer登录页面,我可以从那里登录,然后IdentityServer将我重定向到redirect。我有一个Bearer格式的访问令牌,它被传输到API,并且一个iframe在/connect/ IdentityServer上频繁地弹出和联系这个。当我退出时,我会被重定向到IdentityServer,然后转到我的角度前沿,这要求我登录。
你
浏览 1提问于2019-07-05得票数 3
1回答
我们有一个应用程序使用Okta作为我们的IDP。我们已经在应用程序中启用了PKCE流,因为这是我们SPA的推荐流。
我们希望能够创建一个集成测试,以自动调用我们的一些API,并在声明中包含相应的组。但是,我们不能同时启用PKCE和client_credentials授予类型。当我们通过API添加无效的授权类型时,我们会得到一个关于无效授权类型的错误。
我们得到的错误是:
{
"errorSummary": "token_endpoint_auth_method: 'token_endpoint_auth_method
浏览 0提问于2021-10-04得票数 0
回答已采纳
1回答
理解PKCE与授权代码授予的好处
、、、、
我是OAuth世界的新手,我试图理解使用PKCE比传统授权代码授予的好处。(我的许多假设可能是错误的,所以我要感谢你的修正。)
我是一个移动应用程序开发人员,根据OAuth文档,客户机密不能硬编码在公共客户端的应用程序代码中。避免对客户端秘密进行硬编码的原因是,黑客可以解压缩我的应用程序并获取我的客户端秘密。
拥有我的客户机密和我的redirect_url的黑客可以开发一个假的应用程序。如果最终用户(User1)下载真正的应用程序和黑客的应用程序(两者都下载),伪造的应用程序可以监听真正的应用程序回调,并从其中获取授权代码。使用授权代码(来自回调)和客户端秘密(通过反编译我的应用程序窃取),黑
浏览 2提问于2022-01-19得票数 3
回答已采纳
我正在考虑使用pkce将我的angular应用程序中的身份验证流从隐式流升级到授权码流。我使用Azure AD作为身份验证提供程序。
我在Microsoft文档中找不到与spa的pkce流程相关的文档。Auth0已经从去年开始支持pkce,想知道Azure ad是否支持它。或者是否在他们未来的路线图中。
浏览 2提问于2020-05-06得票数 2
1回答
让我们想象一下以下情况:
我用Xamarin (iOS/Android兼容)开发了一个移动应用程序。
我希望它能够支持OAuth2 + OpenID连接的授权代码流,这样用户的凭证就不会存储在设备上,而是一个访问令牌。令牌授予对一个API的访问权,该API用于实现整个移动应用程序功能,这意味着移动应用程序只是一个前端接口/UI。
我的移动应用程序被认为是“客户应用程序”,还是“资源所有者”?
第三步使我很难理解这一点。如果它被认为是客户端应用程序,将如何跟踪整个代码流,保护我们不受任何东西的影响,因为大多数东西都是可见的(移动应用程序是公共客户端,没有后台通道)。
如果它被认为是资源所有者,那
浏览 0提问于2019-12-11得票数 4
回答已采纳
上下文
有一个SPA,它在PKCE中使用授权代码授权流从API获取信息,所有信息都是高度敏感的
研究
下面是我发现的PKCE授权代码授予流是如何工作的:
THE FLOW
V= code_verifier
$= code_challenge
A= authorization_code
📷
的目的
在本文中,https://www.scottbrady91.com/oauth/client-authentication-vs-pkce说PKCE还不够,您仍然需要客户端身份验证。
PKCE有助于保护您免受各种代码注入攻击,但PKCE并不取代客户端身份验证。
PKCE的目的是确保所有请求都来自同一个
浏览 0提问于2021-09-14得票数 3
解释:https://www.oauth.com/oauth2-servers/pkce/
OAuth流示例:https://developer.okta.com/docs/guides/implement-auth-code-pkce/use-flow/
我的问题是更具体的:如果state被实现,是否有任何理由要求使用PKCE?
state通过让应用服务器验证它给客户端的状态与客户端给它的状态相同来阻止CSRF攻击(在发出第一个OAuth请求之后)
App为每个唯一的客户端生成随机state &提供给客户端
客户端向Auth发送state,Auth返回状态和代码
客户端向App发送s
浏览 0提问于2019-08-08得票数 13
回答已采纳
我有以下KeyCloak客户端配置,以使用pkce身份验证流:
Realm: REALM
Client ID: pkce-client
Client Protocol: openid-connect
Access Type: public
Standard Flow Enabled: ON
Valid Redirect URIs: http://localhost:4200/
Advanced Settings:
Proof Key for Code Exchange Code Challenge Method: S2
浏览 8提问于2021-12-15得票数 0
我想在我的Xamarin应用程序中使用identityserver4用户验证。但我无法决定将哪种授予类型用于本机应用程序。
authorzation_code
隐式
访问令牌有过期日期。我怎样才能买到新的令牌?我应该在移动应用程序中使用用户名和密码吗?
浏览 3提问于2019-04-13得票数 0
2回答
SPA隐式流与授权流与混合流
、、、、
对于SPA使用OpenId隐式流似乎存在共识,尽管存在一些安全问题,使用HTTPS是否降低了这种风险,还是使用另一种流类型更安全呢?例如授权或混合流。
浏览 5提问于2018-06-06得票数 1
回答已采纳
我们目前正在考虑创建一个带有react原生(expo)的移动应用程序。经过一点修补之后,所有的认证内容都可以使用了。但是,对我们来说,有一个问题是,很明显,您无法获得比更有效的刷新令牌。
就我的 而言,出于安全考虑,建议在移动应用程序中使用PKCE。但是让用户在24小时后完成一个完整的登录对我们来说是一种阻碍。
对于移动应用程序来说,还有哪些其他选项可以使用有效时间超过24小时的刷新令牌呢?
浏览 9提问于2022-08-01得票数 1
回答已采纳
1回答
Azure B2C -更新会话
、、、、
我有一个使用Azure B2C对用户进行身份验证的React应用程序(PKCE流)。只要用户有一些活动,就需要保持会话活动。
我不能使用“滚动”进行会话超时,因为有些请求是由一个独立的作业发出的,而该作业不是由用户触发的。
以下是我的问题--我如何控制续订会话?每次获得访问令牌时,我都希望更新该会话。
浏览 3提问于2022-02-17得票数 0
2回答
我们希望使用OAuth2隐式格兰特,因为它是为单页应用程序而提出的。对于没有经典web会话的JavaScript应用程序。应用程序只有在一小时后过期的访问令牌。我们使用中央身份验证服务(CAS),用户可以在其中拥有一个会话。
在开始时,用户没有任何会话。当用户启动JS-应用程序时,它会将用户代理导航到CAS,在那里通过他的凭据进行身份验证。在成功的身份验证之后,他将被重定向到带有片段中的访问令牌的JS应用程序。
短时间后,访问令牌不再有效,应用程序需要一个新的访问令牌。为此,应用程序再次将用户代理导航到CAS。问题是:民安队应该怎么做?
用户已经在CAS中有一个会话。是否允许使用此会话对用户进
浏览 0提问于2016-08-09得票数 3
我使用PKCE跟踪身份验证代码流,我的身份提供者是Azure活动目录。我已经创建了一个应用程序,“客户-应用程序”从应用程序注册。在清单中,我添加了appRoles,如下所示。
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"displayName": "StoreGroupManager",
"id": "47fbb575-859a-4941-89c9-0f7a6c
浏览 3提问于2020-10-20得票数 1
回答已采纳
1回答
服务器到服务器令牌的发布要求在流中不存在请求权限的html页面。请求令牌的服务器是可信方。
当我从或请求oidc令牌时,SDK使用的OAuth2.0流是什么?我需要知道这一点,因为我有自己的oAuth服务器,我不知道要使用哪个标准授权流直接发出oauth/oidc令牌。
浏览 2提问于2020-07-04得票数 1
回答已采纳
1回答
如果我使用OpenID连接进行身份验证,我可以验证我的SPA。
现在如何使用获得的访问令牌来访问我自己的REST资源?
这是一个简单的问题,但我找不到令人满意的答案。
我总是找到一个突出的答案:“当你没有后端的时候使用oidc”。
现在,我想知道是否曾经创建过一个不需要后端的was应用程序。
当出现在客户端中存储刷新令牌的问题时,Oidc几乎总是答案(比如在“使用oidc,它是一个更好的体系结构并丢弃刷新令牌”中),但它并没有真正解释任何事情。
因此,当用户登录时,比如Google,他会获得一个身份和一个访问令牌(以确保用户就是他声称的那个人)。
那么,如何使用它在您自己的REST服务中进行身
浏览 1提问于2019-12-21得票数 2
回答已采纳
我正在构建一个需要谷歌发布的id_token的SPA应用程序(基于react.js),当初始id_token过期时,我需要刷新它,因为id_token是在我的应用程序的后端使用/签入的。
我正在阅读谷歌OIDC的说明书,但我没有找到一种推荐的方法来获得新的谷歌id_token,而不是强制用户通过登录页面(这对用户来说肯定是一种不愉快的体验)
如何实现上述id_token刷新?谢谢
浏览 0提问于2020-11-15得票数 0
我浏览了多个帖子,说明隐式授予是如何构成安全风险的,以及为什么在重定向到应用程序(没有将client_secret传递给AJAX服务器)之后,应该使用AJAX请求授权服务器的auth代码授予。
现在,在2019年,没有CORS问题,因为我可以允许应用程序域上的自授权服务器。
我有以下关切
如果我使用隐式授予:
现在,隐式授予存在安全问题,因为授权服务器重定向到具有url中令牌的应用服务器。
如果我将过期时间设置为5到10分钟,在过期后,用户将被重定向到登录,这是有问题的,特别是如果他正在填写重要的申请表格。在这种情况下该怎么办?请注意,隐式授予中没有使用新令牌进行更新的刷新令牌,因此刷新令牌不
浏览 0提问于2019-07-01得票数 1
我觉得我错过了一个窍门。我们有一个受管理的世博会应用程序,我们试图通过OIDC身份提供者对用户进行身份验证(在我们的例子中,这是科尼图)。
我们有两个选择,要么是expo-auth-session,要么是expo-app-auth。
看来expo-auth-session将支持PKCE流,但没有刷新令牌的机制。
另一方面,expo-app-auth确实有刷新令牌的机制,但似乎不支持PKCE流。
我不想增加令牌超时,因为这是一个安全风险。我也不想使用隐式流,因为这也是一种安全风险。
有一种针对AuthSession的公开PR来添加刷新令牌支持,但是库在没有它的情况下已经运行了这么
浏览 0提问于2020-05-27得票数 4
在阅读了OAuth、OIDC、PKCE、JWT等方面的书籍和视频之后,我仍然不知道如何为我的应用程序(一个安全的REST )使用所有这些内容。
我的用例相当简单。我希望我的用户能够登录谷歌,亚马逊,Okta或其他任何信息,我想从他们唯一的信息是电子邮件地址,他们过去登录,没有其他。在他们第一次登录后,他们的电子邮件将被添加到一个数据库中,在一个单独的进程中,我将授予他们一些权限(他们可以访问什么资源)。
因此,让我们设想一个标准的授权代码流,让我们快速地前进到访问令牌部分。重定向URI已经被调用,我们在我的客户机中(某个地方是我的后端/API),在这里我检索了一个访问令牌。此时,用户已成功通过
浏览 5提问于2020-03-04得票数 0
我想实现oAuth2.0,但是在阅读了oAuth 2.0之后,我的理解是它应该使用授权代码授予类型,并且也应该使用授权代码授予类型。我使用passportJs来实现oAuth2.0,但同时,我不希望出现任何安全漏洞的安全问题。我知道passportJs使用默认的授权代码授予流。但是我也想用它来实现PKCE。护照在他们的文件enableProof: true中提到。这能支持PKCE吗?
浏览 5提问于2020-07-02得票数 0
回答已采纳
我正在创建一个具有React前端和Java后端的应用程序。
我的登录流如下所示:
用户单击前端的登录。
用户被重定向到我的服务器上的Google授权端点
OAuth 2.0授权流程发生:用户被重定向到Google2.0并登录。Google首先与我的服务器交互授权代码,然后交换JWT访问令牌。我的服务器现在为用户提供了JWT访问令牌。
问题:我现在需要将JWT令牌重定向到我的反应性前端,以便每当用户请求访问服务器上的受保护资源时,都可以保存和使用该令牌。
现在是否有将令牌重定向到服务器的响应前端的行业标准/最佳实践?
关于堆栈溢出,在这个主题上也有类似的问题,但是它们至少
浏览 5提问于2021-07-18得票数 5
我们有一个文档,它解释了如何使用自定义策略:来设置“保持登录”(KMSI)
好的,很好,所以我们现在知道如何使用(非常复杂的) XML策略文件来为checkbock设置一些UI。,但它到底在做什么?,这上面的信息在哪里?
它是否为客户端提供了一个新的ID令牌而不需要重新使用?
它提供了一个新的auth_code吗?
它用的是隐藏的I-帧吗?
如何从客户端应用程序实际调用/完成刷新?(水疗)
是否需要往返到B2C,而不要求用户提供creds并将其重定向回应用程序?或者,应用程序能够发出完全的UI/UX静默刷新请求吗?如果是这样的话,是怎么做的?API在哪里?MSAL.js中需
浏览 0提问于2020-11-15得票数 8
回答已采纳
我有一个应用程序,需要实现保护rest API的oauth 2。简单的流程是当用户登录时,他们应该能够访问一些受保护的资源(根据他们的角色)。 我将使用angular 7作为前端。 根据这个图表,我需要使用单页应用程序的隐式授权。 ? 现在我继续搜索,找到了https://www.devglan.com/spring-security/spring-boot-oauth2-angular API Name - Login
Method - POST
URL - oauth/login
Header - 'Authorization': 'Basic ' + b
浏览 19提问于2019-01-20得票数 1
我找到了很多的链接,但我没有得到解决我的问题。
我试图在asp.net内核中实现jwt刷新令牌。
为了存储刷新令牌,我创建了表。根据jwt建议,对于SPA应用程序,我们不应该向客户端公开刷新令牌。
所以我计划好了,
在用户登录时,创建访问令牌并与客户端共享为访问令牌创建刷新令牌,并将其存储在数据库中,并在用户访问授权控制器和操作时将其存储在HTTP 中,如果访问令牌过期,我希望基于刷新令牌生成新令牌。
但是,在很多地方,我发现,用户会发送请求。如果未经授权,用户将使用存储的刷新令牌(本地存储或其他东西)请求新的访问令牌,并再次调用有效的api请求。
我不想像最后一段提到的那样(这是对的吗?)
浏览 2提问于2020-02-17得票数 0
我有一个桌面客户端应用程序,它使用Azure AD对用户进行身份验证。我希望在客户端应用程序中使用用户已经提供的相同身份验证,并将令牌传递给新的Blazor项目。因此,如果我将refresh_token作为查询参数传递给我的新web应用程序,我是否可以使用它为该用户生成新的访问令牌,而不需要他们重新进行身份验证?
浏览 2提问于2021-02-22得票数 0
1回答
问题:我相信我理解PKCE对隐式流的改进,但是在使用PKCE的用户机器与应用程序接收和处理后端授权代码的授权代码流之间,安全性有什么根本的区别呢?
背景:我们的团队一直在寻求在不同的产品组合中添加/实现单点登录。其中包括一个具有登录表单/cookie的旧网站,一个目前使用对称JWT的SPA/PWA,以及一个使用JWT的桌面应用程序插件。我们的Auth0价格已经不高了,所以我们希望通过微软和/或谷歌的登录来利用OpenID连接。
作为一个尝试,我们已经得到了“授权代码授予流程”与常规网络应用程序。也就是说,用户被重定向到他们完成的MS/Google登录,用授权代码重定向回来,我们的服务器接收授
浏览 9提问于2022-06-12得票数 0
2回答
我试图用OAuth给一个移动应用程序添加不和谐的。我能够成功地使用DiscordAPI进行身份验证,并且从服务器收到一个code。
但是,当我试图调用https://discordapp.com/api/oauth2/token端点时,我会不断地得到一个Bad Request结果。
我试过几种方法来达到我的象征性,但都失败了。
尝试(1)使用HttpClient:
var nvc = new List<KeyValuePair<string, string>>();
nvc.Add(new KeyValuePair<string, string>("
浏览 0提问于2020-02-16得票数 2
回答已采纳
我试图发布一条推特,并不断地遇到"TypeError: Load failed“,而没有解释为什么tweet不会发布。
import { Client } from 'twitter-api-sdk';
const client = new Client(process.env.TWITTER_BEARER_TOKEN!);
interface PostTweetProps {
tweetBody: string;
}
export async function PostTweet({ tweetBody }: PostTweetProps) {
cons
浏览 9提问于2022-08-24得票数 2
我正在尝试使用Angular 6应用程序中的以下方法以编程方式从Azure Active Directory获取访问令牌。
let body1 = new FormData()
body1.append("resource", environment.config.clientId)
body1.append("grant_type", "client_credentials")
body1.append("client_id", environment.config.clientId)
b
浏览 1提问于2018-10-16得票数 2
回答已采纳
在我当前的体系结构中,我有一个身份验证服务器,它通过OpenID连接到使用我实现的代码流的任何web应用程序提供一个JWT令牌。
我讨论了实现OpenID连接(主要是由于自库)的麻烦,以便让经过身份验证的web应用程序处于无状态状态。它还允许我通过传递JWT,在应用程序之间发出请求,而无需重新验证用户的身份。很方便..。
现在我面临以下问题:如果其中一个web应用程序想要刷新他们的令牌,而不是再次遍历整个代码流,那么他们需要在后端的某个地方存储一个刷新令牌,它是安全的。
可悲的是,这会破坏我正在寻找的无状态身份验证,这迫使我在我最初不需要的每个web应用程序上挂载某种类型的数据库。
是否存在以
浏览 0提问于2020-01-23得票数 3
回答已采纳
一段时间以来,我一直在研究SPA的SSO解决方案。有很多有细微差别的解决方案,但我也发现并不是每个人对SSO都有相同的理解,也没有多少SPA建立的SSO模式。因此,我并不是要求一个详细的设计/体系结构,而是试着看看在这个主题上是否有任何共同的实践。
,我对SSO意味着什么?
我们正在开发一些新的SPA(也可能是移动和平板应用程序),它们将部署在不同的服务器上,并有不同的域。
我们还有一个中央IdP (authServer),它将存储所有用户标识。
一旦我登录到SPA1并单击了一个按钮,将我带到SPA2(或SPA3,SPA4,可能),我就不必输入用户凭据并自动登录。
SPA
浏览 6提问于2015-10-23得票数 6
回答已采纳
我的应用程序主要是基于spring引导的微服务。目前,它使用的是OAuth和密码grant_type,这在最新的春季安全授权服务器版本中是不推荐的。为了接收JWT令牌,它将客户端id和客户端秘密存储在React前端中,这是不安全的,不推荐使用。用户需要注册才能访问某些资源,并且应用程序维护mysql DB中的登录凭据。
我正试图升级spring安全性,并希望“帐户服务”作为授权服务器来发布JWT令牌。
我的理解正确吗?我需要在PKCE中使用authorization_code大类型吗?
如果我使用PKCE,那么我不需要用户在注册时提供密码,这是正确的吗?仅仅存储用户名/电子邮
浏览 16提问于2022-11-12得票数 0
回答已采纳
我使用身份服务器4构建了自己的身份服务器。我在示例甚至管理UI中经常看到的一点是,对于web应用程序(通常是MVC),混合授权类型是默认的授予类型(flow)。我只是不知道这有什么好处。
响应类型:代码令牌
即使响应类型为“代码”,也会在交换的代码/令牌上返回id_token。
id_token在客户端通常并不有用,因为客户端必须先处理JWT,并且大部分信息可以发送到视图。
即使对于SPAs,如果我将响应类型设置为仅代码,我仍然会得到一个id_token (通过oidc客户机)。
我遗漏了什么用例,id_token在初始响应中发送的地方对视图来说足够重要?我使用的是auth
浏览 0提问于2019-10-23得票数 2
回答已采纳
1回答
我已将刷新令牌生存期配置为90天,但当Azure AD B2C返回的令牌始终为24小时时。我需要做什么来延长令牌的生命周期吗?
浏览 0提问于2020-11-20得票数 1
我有一个Spring Boot服务器,它通过使用谷歌作为身份验证提供者来执行整个OAuth 2.0授权流程。我使用Spring库,它已经为像OAuth和Facebook这样的提供商提供了OAuth端点的过滤器。
我有一个React前端,当用户单击登录时,它会打开一个新窗口,其中的URL指向服务器上的Google authorisation端点,从而启动此流程。
当服务器成功地对用户进行身份验证并从Google检索到JWT令牌时,我需要将此令牌传递回React前端并存储令牌,以便用户可以使用它向我的后端API发出授权请求。
据我所知,我无法让前端向后端发送get请求以获取令牌,因为OAuth授权
浏览 41提问于2021-05-09得票数 2
我正在构建两个应用程序:前端和后端。
后端将使用Rails API + Doorkeeper (oauth2提供程序)构建,而前端将使用React构建。
目前,我正在使用“客户凭据授权流”,该流程目前运行良好。但是经过一段时间的研究后,这个流程不应该被应用程序使用,因为如果有人对应用程序进行解压缩,它就会公开client_secret。
我还读过“隐式格兰特流”,它只需要client_id。但现在这股潮流似乎已经过时了?
根据这个:
它建议在“隐式授权流”上使用“带有PKCE的授权代码授予”。我可以让它工作,但问题是,它仍然需要client_secret才能得到一个access_token,这
浏览 14提问于2020-07-23得票数 7
回答已采纳
我有一个使用azure active目录身份验证的Xamarin窗体应用程序。
我使用的是NuGet包Microsoft.Azure.Mobile.Client 3.1.0版本,类MobileServiceClient的LoginAsync函数的签名是
Task<MobileServiceUser> LoginAsync(UIViewController view, MobileServiceAuthenticationProvider provider);
用于iOS和安卓的类似签名。因此,我在iOS上的登录功能如下:
var window = UIKit.UIApplica
浏览 2提问于2018-06-20得票数 0
回答已采纳
试图找到一种方法来最大化用户在进行重新身份验证之前的时间(特别是当用户进行社交登录时,例如向microsoft登录时)。
我无意中发现了这个声明令牌生命周期的microsoft文档。
以及这些MSAL文档(这是我在web应用程序中使用的库)
这两种来源都说明了我发现的不正确的限制:
微软文档
token_lifetime_secs -访问令牌生命周期(秒)。缺省值为3,600 (1小时)。最少300分钟(5分钟)。最多为86 400人(24小时)。
我发现在上传B2C策略时,有一个验证声明如下。
访问令牌生存期应在5分钟到10080分钟之间。
设置它,发出一个B2C令牌作
浏览 13提问于2022-06-16得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
