如何在授权并获取访问令牌后,将用户回传给前端客户端?
在授权并获取访问令牌后,将用户回传给前端客户端的过程可以通过以下步骤实现:
- 在用户授权成功后,后端服务器会收到一个授权码(authorization code)。
- 后端服务器使用授权码向认证服务器发送请求,以获取访问令牌(access token)和刷新令牌(refresh token)。
- 认证服务器验证授权码的有效性,并返回访问令牌和刷新令牌给后端服务器。
- 后端服务器将访问令牌和刷新令牌保存在安全的存储介质中,通常是数据库或缓存。
- 后端服务器将访问令牌发送给前端客户端作为响应。
- 前端客户端收到访问令牌后,可以将其保存在本地,通常使用浏览器的本地存储(localStorage)或会话存储(sessionStorage)。
- 前端客户端可以使用访问令牌来向后端服务器发送请求,以获取用户的个人信息或执行其他需要授权的操作。
- 后端服务器在接收到前端客户端的请求时,会验证访问令牌的有效性,通常是通过解析令牌中的信息并与存储的令牌进行比较。
- 如果访问令牌有效,后端服务器会处理请求并返回相应的数据给前端客户端。
- 如果访问令牌过期或无效,后端服务器可以使用刷新令牌向认证服务器请求新的访问令牌。
- 认证服务器验证刷新令牌的有效性,并返回新的访问令牌和刷新令牌给后端服务器。
- 后端服务器更新存储的访问令牌,并将新的访问令牌发送给前端客户端。
- 前端客户端使用新的访问令牌继续发送请求,后端服务器验证令牌的有效性后处理请求。
在这个过程中,后端服务器起到了中间人的角色,负责与认证服务器进行交互并处理用户的请求。前端客户端通过保存访问令牌来实现持久化登录,并在需要时向后端服务器发送请求。这种方式可以保证用户的安全性和数据的保密性。
腾讯云提供了一系列的身份认证和访问管理服务,例如腾讯云访问管理(CAM)和腾讯云身份认证服务(CVM),可以帮助开发者实现用户授权和访问令牌的管理。具体产品和介绍可以参考腾讯云的官方文档:腾讯云访问管理(CAM) 和 腾讯云身份认证服务(CVM)。
相关·内容
1回答
这是一个相当主观的问题,我搜索了很多地方,但是我想知道WebApi身份验证是如何工作的。
我在前端使用AngularJS应用程序,现在我必须连接到WebAPI,但是有不同的客户端,那么在WEBAPI中客户端将以什么方式进行身份验证?
浏览 4提问于2017-05-03得票数 0
回答已采纳
我有一个后端是用Laravel 5.2构建的,前端是用AngularJS构建的。
该站点有一个事件列表,它向后端发出GET请求以获取所有事件。
如何防止有人使用我的API获取其他站点或移动应用上的事件?
我希望端点只能从我的前端访问。
这有可能吗?
我应该检查什么?
API key是什么方式?
浏览 0提问于2016-02-04得票数 0
1回答
我很难弄清楚如何将Node.js后端令牌放到React.js前端本地存储中。要通过使用Oauth2流的外部websites登录用户将使用他们的凭据,这将是登录应用程序的唯一方法。
当前,用户单击一个按钮,该按钮将在授权URL中打开一个新窗口,用户将在其中授予权限。一旦授权,用户将被重定向到后端端点,该端点通过passport.js并获得从外部API发送的所需的访问和刷新令牌。然后将其存储在后端数据库的会话中。相反,我想要的不是将会话存储在数据库上,而是实现JWT并将用户的数据存储在本地存储中。使用当前的流程,这是不可能做到的,而且我还没有找到正确的文档来解决它。
有许多网站实现它的确切方式,我
浏览 7提问于2022-08-04得票数 1
回答已采纳
3回答
OAuth 2规范使我相信“资源服务器”和“授权服务器”并不一定是同一个应用程序,但我很难弄清楚这是如何在实践中实现的。
例如,假设存在以下应用程序:
资源服务器
授权服务器
web前端
第三方客户端应用
场景1:登录到web前端
用户提交登录表单
web将凭据发布到auth server (grant_type=password)并接收access_token
web应用程序将access_token存储在会话中。
应每次后续请求:
从资源服务器(授权头中的w/ access_token )获取资源,并在web前端呈现它
如果我们得到一个401,
浏览 4提问于2013-04-26得票数 47
回答已采纳
1回答
我用React作为前端。我用react-google-login和react-facebook-login登录Google和Facebook。
它给了我前端的accesstoken。
我将这个accesstoken传递给后端(我在hapi中使用Node )。
但是在后端,我如何才能使用userDetails从谷歌或Facebook获得accesstoken,并通过刷新令牌获得新的accesstoken?
更新:
好的,在google oauth2过程中有三个步骤。
取授权码
交换授权代码以获取访问令牌
传递访问令牌以获取用户信息
当我把前端和后端解耦的时候。在这三个步骤中,
浏览 0提问于2018-11-16得票数 3
回答已采纳
我开始学习誓言2,我需要从前端获得访问令牌(角2),没有显示出微软登录页面,有任何选项,如果有请分享我,谢谢。
浏览 1提问于2016-11-03得票数 0
我试图把一个网站,使用JWTs登录。我的问题是,我不明白一个网站应该如何使用JWTs。
其想法是将我的整体架构分解为:
一个用于身份验证和发出JWT的IdentityServer。
一个ApplicationServer API,其端点受基于JWT的角色的保护。
前端应用程序和网站从IdentityServer请求JWT,并使用它们访问ApplicationServer上的数据。
这将允许我在许多项目中使用一个IdentityServer,并可能将前端开发扩展到第三方,并允许我集中讨论应用程序API的细节。
我已经建好了IdentityServer。它可以使用用户名/密码,
浏览 1提问于2017-08-02得票数 3
1回答
我有SPA应用,后端是红宝石rails和前端是反应。现在,我正在开发新的身份验证功能;使用omuniauth登录GitHub帐户。
但是,在使用GitHub进行授权之后,我们需要重定向到后端服务器,因为它是向GitHub身份验证服务器发送授权请求的服务器。这意味着我的前端无法接收来自GitHub的响应,该响应包含用户名、令牌等信息。
我知道我们可以通过后端API重定向到前端URL,但即使在这种情况下,我也相信来自GitHub的信息不会传递给前端。
在GitHub授权之后,有什么方法可以分享oauth2的信息吗?任何帮助都会很感激的。提前谢谢你!
浏览 1提问于2021-07-12得票数 1
2回答
我在同一个目录中有两个Azure应用程序,我们称它们为FrontendAuth和BackendAuth,它们分别为ASP.NET MVC前端和Web后端提供身份验证。MVC前端使用标准的UseOpenIdConnectAuthentication配置( Web后端与UseWindowsAzureActiveDirectoryBearerAuthentication )进行保护。
我想要做的是登录到前端,对FrontendAuth进行身份验证,然后通过JavaScript (托管在后端的API )向BackendAuth提供一个令牌(使用ADAL JS获取)。
假设
我的期望/假设是:
我必
浏览 7提问于2016-03-29得票数 1
1回答
我需要一个可以与github repos交互的前端,所以我设置了一个Github,然后我的节点中间件调用了/authenticate端点
const result = await axios.get(`https://github.com/login/oauth/authorize`, {
params: {
client_id,
redirect_uri: 'http://localhost:3010/',
},
})
这将在前端用户到达特定页面时立即触发。
调用本身返回OK 200,我可以在响应数据中看到Gi
浏览 2提问于2021-04-08得票数 0
回答已采纳
我在Spring中有一些微服务,我的前端应用程序是角的。我正在使用OpenID连接进行身份验证和授权。现在,在我的应用程序中,在加载角应用程序时,它将用户重定向到身份验证服务器,并在登录后接收到每个HTTP请求中的角应用程序发送到资源服务器的令牌。现在我有个问题。我的微服务也彼此通信,但由于每个微服务都充当资源服务器,而其他API现在是安全的,所以微服务无法通信。我想要实现的是,用户从角度应用程序发送的请求应该包含一个令牌,这些请求应该被验证,但是我想绕过或禁用OAuth安全性,以便在微服务之间进行服务间通信。在Spring中有什么方法可以做到这一点吗?
浏览 3提问于2022-10-06得票数 1
我试图了解OAuth2.0提供的各种授予类型。我一直在阅读它&有很多资源可以很好地解释它,比如、和。
在授权代码授予类型的情况下,据我理解有两个步骤。
步骤1-获取授权代码本身
因此,让我们假设用户打开应用程序,比如浏览器中的AwesomeApp。这个应用程序有一个选项,比如在Facebook上登录,用户选择继续使用。这将使用查询参数中所需的详细信息向授权服务器(在我们的示例中是Facebook )发起一个GET请求,类似于(取自上面链接的资源之一):
https://authorization-server-of-facebook.com/auth?response_type=cod
浏览 3提问于2020-04-17得票数 2
2回答
我正在开发一个使用OAuth协议的REST服务的Android应用程序。在第一个活动中,app显示了一个登录屏幕。这就是流程:
1)用户输入用户名和密码。
2)应用程序请求REST服务,提供用户名和密码。
3) REST服务检查凭据,如果正确,请向我的OAuth2提供者服务器请求一个OAuth2。
4) REST服务回答提供access_token和refresh_token的应用程序
5)在对REST服务器的下一个请求中(获取数据,如人员、文章.)app将提供access_token和refresh_token。
6)当REST服务处理请求时,将验证access_token (使用我的OAu
浏览 4提问于2015-04-01得票数 6
回答已采纳
1回答
我试图实现对我的Ionic4-电容应用程序的推送通知。
在应用程序中,我有以下代码:
PushNotifications.register();
PushNotifications.createChannel({ id: '1', description: '2019', importance: 2, name: '2019'});
PushNotifications.addListener('pushNotificationReceived', (notification) => {
console.debug(J
浏览 0提问于2019-05-03得票数 2
回答已采纳
我正在寻找一种方法来限制用户对某个领域中特定客户端的访问。我知道我可以在启用授权(细粒度授权支持)的客户端完成这一任务,但是当尝试从前端连接时(客户端需要是公开的,而不是机密的),这是行不通的。我正在使用javascript应用程序从前端登录。
是否有一种为公共客户端启用授权的方法?
谢谢。
浏览 2提问于2020-07-09得票数 0
回答已采纳
1回答
我有以下情况:
A基于Vue.A Nest.js的前端SPA --提供API的应用程序,用户应该使用Azure AD对Nest.js应用程序进行身份验证。Nest.js应用程序应该提供几个端点,以便使用其他Apis (例如,LinkedIn或Graph)。
我现在的问题是,这个场景是否可以实现,如果是,我如何实现外部应用程序的身份验证,它是由Nest应用程序使用的?
事先非常感谢
浏览 6提问于2021-01-01得票数 0
1回答
AWS API网关保护端点
、、、、
我有一个由API网关服务触发的Lambda函数,但是这个API是由前端应用程序访问的,这个应用程序不需要用户登录或注册就可以使用它。
然而,我想保护我的API,只允许来自我的前端应用程序。
经过研究,我发现我可以在API Gateway中使用自定义授权,该自定义授权将检查传入请求的authorization头部并对其进行验证。
问题是,我可以将Amazon Cognito用于这样的事情(隐式授权类型)吗?如果不是,前端应用程序将发送给我进行验证的内容是什么?我如何保持它始终可更改,这样就没有人能猜到它?
谢谢。
浏览 0提问于2018-09-16得票数 0
关于密钥/秘密的OAuth2状态:
这只应在服务器到服务器场景中使用。不要将OAuth应用程序的客户端机密泄露给用户。
我想了解这会带来什么样的安全风险,因为我见过一些web应用程序使用前端脚本查询API,并传递客户端id和客户端机密以利用额外的速率限制。
浏览 2提问于2016-09-06得票数 1
我在试图理解Oauth2.0中的各种赠款类型时遇到的一篇非常好的文章是这。作者在很好地解释了Oauth2.0流中的各种授予类型方面做得很好。我还跟踪了一些更多的文章,如这和这。他们中的每一个人都很好地解释了不同赠款类型所涉及的资金流动情况。
然而,有一件事让我感到困惑&因此我发表了这篇文章。我很想知道我在这里错过了什么。
在授权代码授权流中,在授权代码与客户端(最终用户在浏览器中访问的web应用程序页或最终用户正在访问的移动应用程序)共享后,此web应用程序的前端网页将授权代码发送到其后端。然后,web应用程序的后端(服务器端代码)交换此信息(以及其他信息,如客户端机密等)。使用授权服
浏览 0提问于2021-03-07得票数 1
我有一个Spring Boot服务器,它通过使用谷歌作为身份验证提供者来执行整个OAuth 2.0授权流程。我使用Spring库,它已经为像OAuth和Facebook这样的提供商提供了OAuth端点的过滤器。
我有一个React前端,当用户单击登录时,它会打开一个新窗口,其中的URL指向服务器上的Google authorisation端点,从而启动此流程。
当服务器成功地对用户进行身份验证并从Google检索到JWT令牌时,我需要将此令牌传递回React前端并存储令牌,以便用户可以使用它向我的后端API发出授权请求。
据我所知,我无法让前端向后端发送get请求以获取令牌,因为OAuth授权
浏览 41提问于2021-05-09得票数 2
2回答
我正在使用授权授权流程在我的应用程序中设置OAuth2。我还在使用create-react- app,这样我就可以在localhost:3000上进行开发,它可以代理到我在localhost:8080上的应用服务器后端。
除了我不能让CSRF令牌工作之外,大多数情况下都可以工作。
我意识到这是因为我将OAuth2重定向URL设置为后端,因此它没有发送私有的加密csrf_state cookie,因为请求来自谷歌而不是我的应用程序。
我认为这在生产中不会是问题,因为不会有代理服务器。相反,后端和前端都将从同一mydomain.com提供服务
那么,我是不是应该不在开发阶段做这项工作呢?或者我应该
浏览 4提问于2019-12-01得票数 5
我是新的钥匙斗篷,并想检查什么是常见的设计在上述的架构。我有一个后端(夸克),一个前端(角)和一个颤振。
我想看看我能不能充分利用客户的特点。我的想法是在领域内有一个独立的客户端。例如
领域= MyAppRealm
客户端=后端客户端和前端客户端
我从前端获得的令牌是否可能用于从后端访问api?
我之所以设置这个系统,是因为前端客户端有一个公共访问类型,而后端有机密。
要而论之。我想看看是否可以重用从front-endclient获得的令牌到backend-client
浏览 0提问于2021-04-10得票数 1
我正在使用Azure Active Directory实施单点登录。前端为Angular,后端为.net core WebApi。 我看到一个例子,你必须创建两个AAd应用程序,一个用于前端,一个用于后端,为什么我们必须创建两个应用程序?
浏览 13提问于2019-01-09得票数 0
我的javascript项目由两部分组成:前端(React.js)和后端(node.js)。我想知道如果我只将Keycloak集成到前端,后端是否也是安全的?或者我应该尝试将它集成到这两个系统中?
浏览 1提问于2020-07-17得票数 1
2回答
我希望更好地理解隐式授予流和授权代码授予流之间的区别,因为我不确定我当前的理解是否正确。
隐式授予流是否主要由前端应用程序用于验证用户?
隐式授予流是否只需要一个client_id、用户名和密码来进行身份验证,换句话说,client_secret从未被发送过?
授权代码仅仅是一个短暂的令牌吗?
在将授权代码交换为访问令牌之后,客户端可以访问用户帐户多长时间?具体来说,如果客户端是一个长时间运行的脚本,那么用户是否需要在每次运行脚本时进行身份验证?或者,我们是否可以假设,在用户授权一次之后,客户端有权在需要时访问用户(除非用户撤销访问权限),因此它只需要使用客户端凭据进行身份验证
浏览 0提问于2018-06-12得票数 6
回答已采纳
从客户端应用程序发送请求以获得访问令牌的理想/安全方式是什么?
我有一个REST (使用Spring开发),它由该API的客户端应用程序(使用React.js开发)使用。例如,Stackoverflow有后端API,它的前端客户端使用该API。REST使用OAuth2进行安全保护。
API返回访问令牌的端点是
http://192.168.43.70:8085/api/v1/oauth/token?grant_type=password&username=22@gmail.com&password=mypassword
还有客户的秘密。以下是来自React.js的请求:
axi
浏览 0提问于2018-11-29得票数 2
1回答
我有一个Web API和一个前端应用程序。 在前端应用的API permissions中,我给我的接口(Files.Download)添加了一个权限。 ? 在Web API的Expose an API中,我为这个作用域授权了客户端应用程序。 ? 现在,为了检查调用应用程序是否具有所需的作用域,我从我的控制器操作方法中调用以下代码: public static void VerifyUserHasAnyAcceptedScope(this HttpContext context,
浏览 12提问于2020-06-18得票数 1
回答已采纳
1回答
对于oauth访问,授权服务器必须检查令牌的有效性。是否有一种方法可以做到这一点,而不对资源服务器的每个请求进行往返授权服务器?我已经对JWT做了一些解读,似乎因为JWT可以签名,所以它应该能够由资源服务器进行验证,而无需转到授权服务器?IIUC有什么标准/简单的方法来做这与春季安全oauth?
浏览 2提问于2017-09-10得票数 0
回答已采纳
我有一个自己的自我托管的应用程序,它有一个前端用户可以注册。Nancyfx执行路由和模型的逻辑,在中我看到Nancyfx提供了3种类型的身份验证。
表格(Nancy.Authentication.Forms)
Basic (Nancy.Authentication.Basic)
无国籍(Nancy.Authentication.Stateless)
我已经确定了无状态身份验证,并且在之后,我尝试设置一种基本的身份验证形式。
我想进一步扩展这一点,使用JWT方便地获得一些基本信息,并将其作为基本身份验证的一种形式(例如,客户端有令牌,因此他已被验证),但这是我遇到一些问题的地
浏览 3提问于2017-03-30得票数 1
4回答
我正在使用React创建一个具有一组微服务和前端的新应用程序。我有自己的使用Oauth的身份验证服务器。理想情况下,我希望将用户登录和注册过程保留在React应用程序中,因为我拥有身份验证服务器和客户端应用程序。
我想使用密码授予,但由于React是一个单页面应用程序,我无法保护秘密。我可以使用隐式授权,但不希望将用户重定向到另一个页面进行登录或注册。这对未来的第三方集成来说是可以的,但由于我拥有前端,我希望让它尽可能地无缝(例如像Facebook)。
作为另一种选择,我可以创建一个用户微服务(在这里我可以保护秘密),它提供用于登录和注册的API,然后使用密码授予调用auth服务?
浏览 0提问于2018-05-21得票数 1
我正在开发一个本地应用程序,它将使用OAuth允许用户登录(或访问其他网站本身)。我知道我将使用OAuth的隐式流或授权代码流,但是我对安全性的所有研究似乎都与客户端秘密有关。
它似乎是我的应用程序的客户id (由第三方网站提供)将是公开的,因此公开。这将允许其他人接受它,并遵循相同的隐式流,伪装为我的应用程序。这就是奥奥斯的本性吗?
有没有办法存储这些信息,这样就不会被偷了?
编辑:我只是想澄清-我知道oauth让用户的信息从我的应用程序和理想的拦截器安全。但是,是什么阻止了某人获取我的客户id (因为在auth过程中它是公开可见的)并自己使用它呢?有什么措施可以通过开源软件来击败呢?
浏览 0提问于2018-06-10得票数 7
回答已采纳
2回答
我有一个带有登录表单的前端(角),作为我的OAuth客户机(spring依赖关系)的那个角应用程序的后端,然后我有第三个应用程序,即授权服务器,最后第四个应用程序是ressource服务器。
因此,我想知道有什么方法可以从授权服务器跳过重定向到/login吗?
我想用角度登录页面登录用户,然后使用我的OAuth客户机(spring)进行授权代码流的get,然后,由于我没有身份验证,所以我不想得到重定向,我希望得到一个错误"401“,然后再向auth服务器发送一个post请求( OAuth client (spring) ),以便将先前在角登录页面中发送数据的用户登录。
本质上,我只想用
浏览 15提问于2022-11-06得票数 0
我在React中开发了前端,在Spring中开发了后端。我有我公司的授权服务器。现在,我们计划使用OpenID连接对用户进行身份验证。当用户试图加载我们的网站时,它应该重定向到授权服务器进行登录。现在,授权服务器应该向我们发送可以交换id令牌和访问令牌的代码。
为了达到这个目的,我们要做的就是,
Step1 :授权代码将从后端交换为id令牌和访问令牌。前端将向我们发送它在重定向uri中接收到的代码,然后后端将调用授权服务器的令牌端点来获取访问代码。
步骤2.现在,一旦我们接收到令牌,我们将向前端发送ID令牌,以便将其存储在本地sesion/存储中,以便为该用户从前端发出的每个请求都包含标头中的
浏览 4提问于2022-04-06得票数 1
因此,对于SPA/前端应用程序,您现在应该使用PKCE来处理OAuth流。但是后端应用程序还有一个额外的复杂性,那就是必须拥有一个秘密密钥并使用该密钥与令牌端点对话。为什么不也在后端使用PKCE呢?
浏览 0提问于2021-02-22得票数 5
2回答
目前,我有一个后端,可以用这个简单的函数验证访问令牌:
const { verify } = require("jsonwebtoken");
const isAuth = req => {
const authorization = req.headers["authorization"];
if (!authorization) throw new Error("You need to login");
const token = authorization.split(" ")[1]; //Bearer
浏览 7提问于2019-12-29得票数 0
回答已采纳
我想为我自己的and应用程序使用lifelog来存储我自己的数据,并使它适应我的需要。我试着研究它,但不幸的是,我无法让api资源管理器(看看它是如何工作的)工作。当我尝试使用授权OAuth2并登录到我的google帐户时,经常会出现以下错误:
无法完成授权请求。原因:访问API提供程序的令牌请求失败。
如果问题仍然存在,请与客户支持部门联系。
不幸的是,我对基于REST的服务没有太多的经验,我已经在这里搜索了一个答案,但是没有找到任何可以开始的东西。我使用了最新版本的Google,也尝试过Edge (我不想知道它为什么不能在那里工作)。有人能帮忙吗?
浏览 6提问于2015-12-20得票数 0
回答已采纳
我有一个角应用程序作为前端客户端和Rails后端API。我想访问Asana的API,并且希望通过authorise授权它,所以我遵循他们的OAuth过程,称为Implicit Grant Flow。
在授权过程之后,我得到了一个access_token,但是当我试图在邮递员上使用这个代码时(为了测试API调用,我将在后端实现),我得到了一个401,而不是授权代码。
有什么方法可以让用户通过角授权,然后将这个access_token交换为永久到令牌/代码,以便在后端进行后续调用?
如果没有,我是否需要让用户在每次我需要访问API时都授权这一点?
编辑
下面是我试图与邮递员一起使用access_t
浏览 2提问于2016-08-31得票数 1
回答已采纳
我正在构建一个(一组) web应用程序;后端有类似REST的API,前端将是一些REST JS应用程序,android应用程序等;我正在尝试想出一个SSO功能。
看看Oauth2/OIDC,似乎最好的方法是使用隐式流;然而,隐式流中的访问令牌(在oidc中)有一组过期时间。刷新令牌不是隐式流的一部分。
如何确保用户保持登录状态?即,当访问令牌到期时,前端应用程序将尝试从认证服务器获得新的令牌;这应该要求用户名/密码。或者,它可以构建一个与前端的会话(使用cookie),但这与刷新令牌有什么不同?
在我看来,获得访问令牌,例如从android应用程序获得访问令牌,至少意味着打开web浏览器;根据
浏览 0提问于2016-12-31得票数 0
2回答
我尝试使用openid连接将我的Python应用程序(后端客户端)集成到Keycloak系统中,为什么我必须填充Valid Redirect URIs字段?据我对OAuth 2.0的理解,后端通道只需在进程中为id和access令牌交换代码
为什么我们需要一个重定向的URL在这里,它不应该只填充在前端客户端吗?
有什么想法吗?
浏览 2提问于2021-06-21得票数 1
回答已采纳
我对此感到困惑。我认为这涉及到授权,但我可能错了。 我正在使用OAuth2.0中的授权码流和OpenID连接来验证我的应用程序的用户。到目前为止,它看起来是这样的: 单击登录到Google -->用户给授权服务器权限-->我检索授权码-->发送代码到node.js/express后端-->代码和密码发送到授权服务器-->后端获取访问代码和ID令牌--> ID令牌发送到前端读取-->发布到资源服务器的访问代码-->检索其他谷歌信息-->发送到前端。 现在我有了访问令牌和ID令牌,如何从SQL数据库中检索特定于该用户的数据?假设数据库由另一台
浏览 16提问于2020-08-10得票数 0
回答已采纳
我对OAuth非常陌生,我打算为一个只有前端(html和JavaScript)的web应用程序实现一个api,并使用laravel进行登录。前端应用程序和API服务器都将驻留在不同的服务器上。我读过很多关于不同补助金的书,但仍然不清楚哪一项最适合我打算做的事情。访问令牌是否将存储在前端(使用本地存储或cookie)?我只是不知道该从哪里开始。
浏览 0提问于2018-01-27得票数 1
回答已采纳
1回答
我是Pusher的新手。我使用Laravel作为我的后端。当用户上传一些照片时,后台有一个队列作业在运行。我想要做的是触发一个事件,它只是将图像对象广播到pusher,然后我通过Javascript在前端接收它们,用户会收到一个实时通知,说所有的照片都已经上传。
此时,通道是基于用户ID动态创建的,如下所示:user-12-channel,12是用户id。
这一切都很好,但我有点担心隐私。有人可以很容易地订阅那个频道,对吧?
例如,在我的控制台中,当我输入pusher.channels (pusher是Pusher对象的一个实例)时,它会列出那里的频道。解决此问题的方法是什么?
我正在研究推送
浏览 0提问于2016-04-19得票数 0
我的项目在Vue上有前端,在Spring中有后端。此外,我还实现了作为我的身份验证方法。我用Thymeleaf创建了一个自定义登录页面。
但问题是,我想在Vue上使用我的组件,在登录页面中。这意味着我希望我的登录页面在Vue中,而在后端具有身份验证服务。
我在网上研究,但找不到任何例子。我想知道这是否可能。我的意思是,只需在前端创建自定义登录页面,并使用,OAuth2。
浏览 5提问于2022-09-22得票数 0
回答已采纳
我正在使用Spring构建一个简单的微服务web应用程序。我决定为前端创建几个服务,为后端创建几个REST服务。
假设我有两个前端使用Thymeleaf :登录和产品列表。我也有2个休息服务,用户和产品。登录向用户发送管理连接的请求,而products-list向产品发送请求以管理产品上的CRUD操作。某些操作只能在用户连接和身份验证的情况下执行。
问题是:我不知道如何告诉我的产品列表服务,我的用户是连接的。而且,由于登录和产品列表是两个独立的应用程序,所以我还没有找到将数据从登录到产品列表而不公开它们的方法(比如令牌,等等)。
我知道Security存在,但我想找到另一种方法,我甚至可以肯定
浏览 1提问于2021-11-05得票数 3
我正在使用google和spring oauth2依赖项。我有我的springboot项目加载我的反应脚本,但我如何合并OAuth2AuthenticationToken。
package com.logic.springbootwithreact.controllers;
import org.springframework.security.oauth2.client.authentication.OAuth2AuthenticationToken;
import org.springframework.stereotype.Controller;
import org.springfra
浏览 15提问于2022-11-25得票数 0
回答已采纳
我有一个现有的系统,并希望利用Auth0(仍在考虑)。
上下文:
我有自己的登录屏幕,这是相当动态的(白色标记)每个客户端。所以我不想使用Auth0登录屏幕。
我有自己的用户和租户数据库,所以暂时不想使用Auth0用户数据库。
因此,我们的想法是在我的后端登录后验证用户凭据,并创建访问令牌以返回客户端。
我希望Auth0验证该访问令牌。
问题:
( 1)可能是最重要的问题。应该与Auth0一起使用,还是只使用本地的jwt
2)是否有一种方法可以在我的后端创建一个有效的访问令牌,可以通过Auth0进行验证。
Stack:
我使用vue.js作为我的前端SPA.
我使用.net核心作为我的后端。
浏览 2提问于2019-08-27得票数 1
回答已采纳
1回答
如何从URL中获取令牌?
、、、、
在成功的身份验证之后,我的ADB2C创建了登录页面重定向到SPA,并且在重定向URL中有一个访问令牌作为URL参数。首先,我想从URL中提取访问令牌。这个是可能的吗?其次,我希望将提取的访问令牌存储在本地存储中。这也有可能吗?一旦这两者就绪,我希望SPA能够使用访问令牌访问后端API。谢谢。
浏览 6提问于2022-03-24得票数 0
回答已采纳
1回答
我有3项服务(实际上更多):
授权服务(使用OAuth 2.0)
前端服务
资源服务
和客户端(网页浏览器)。
我将session_id、access_token和refersh_token存储在用户浏览器的cookie中.用户转到Auth服务,登录并获取这些令牌。在他的网页浏览器被重定向到前端之后。
前端和资源服务无法验证令牌,因为他们对令牌一无所知,因此必须向Auth服务发出请求。
当前场景:
用户(网络浏览器)向前端服务发送请求,前端向Auth服务发送一个请求以验证access_token。如果它是无效的,前端会发送一个请求来使用refresh_token刷新令牌。
浏览 0提问于2018-09-19得票数 0
回答已采纳
1回答
我们有一个要求,我们的用户想要与各种谷歌API的交互,因此我们需要OAuth2.0授权谷歌的授权服务器。
我们的限制是,我们使用的是一个单一的网页前端,不想重定向离开我们的网页,以获得用户授权。
在理想的情况下,用户将选中一个框或单击网页上的一个按钮,然后使用此输入,我们将接收访问令牌和刷新令牌,而无需用户直接与Google交互。是这样的想法是可能的,还是某种形式的用户交互,必须在初始阶段。
我们已经阅读了一些关于使用Oauth2.0和OpenConnectId进行支持的引用,但是我们不确定这种场景的适用性。如有任何建议或意见,将不胜感激。
提前感谢
浏览 4提问于2016-05-03得票数 0
回答已采纳
1回答
向发出服务器对服务器的请求
、、、、
我正在使用vue.js构建一个SPA,它有一个PHP后端服务器(slim Framework3)。这是两个独立的项目,保留在两个不同的服务器上,后端根本没有前端。
SPA (vue.js)通过ajax请求后端。
现在,我希望实现Google ,以便在每次用户创建todo项时创建一个日历和事件。为此,我需要服务器到服务器访问(我可能需要对GCAL上的事件进行更改,即使用户没有登录)。
我想要了解的是,如何使用使用vue.js的Google库获得访问令牌(和刷新令牌),并将其保存在数据库中,以便后端可以使用它向GCAL Api发出离线请求。
当我使用OAuthv.2使用JS库时,我得到的只是不能用
浏览 10提问于2016-02-24得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
