带刷新令牌的谷歌Oauth2服务器侧流java
带刷新令牌的谷歌OAuth2服务器侧流是一种用于实现用户授权和身份验证的协议。它允许第三方应用程序通过用户的谷歌账号获取访问谷歌API的权限。
在服务器端流程中,首先需要创建一个谷歌开发者账号,并注册一个应用程序。然后,通过使用Java编程语言和相关的开发框架,可以实现以下步骤:
- 用户访问第三方应用程序,并选择使用谷歌账号进行登录。
- 第三方应用程序将重定向用户到谷歌认证服务器,并提供应用程序的身份验证信息。
- 用户在谷歌认证服务器上进行登录,并授权第三方应用程序访问其谷歌账号的特定权限。
- 谷歌认证服务器将生成一个授权码,并将用户重定向回第三方应用程序的回调URL。
- 第三方应用程序使用授权码向谷歌认证服务器发送请求,以获取访问令牌和刷新令牌。
- 谷歌认证服务器验证授权码,并返回访问令牌和刷新令牌给第三方应用程序。
- 第三方应用程序可以使用访问令牌来访问谷歌API,执行特定的操作。
- 当访问令牌过期时,第三方应用程序可以使用刷新令牌向谷歌认证服务器请求新的访问令牌。
带刷新令牌的谷歌OAuth2服务器侧流的优势在于可以实现长期访问谷歌API而无需用户频繁登录和授权。它适用于需要在后端服务器上访问谷歌API的应用程序,例如Web应用程序、后台任务等。
腾讯云提供了一系列与云计算相关的产品和服务,其中包括身份认证服务、API网关、云服务器等。您可以参考腾讯云的文档和产品介绍页面来了解更多相关信息:
- 腾讯云身份认证服务:https://cloud.tencent.com/product/cam
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云云服务器:https://cloud.tencent.com/product/cvm
请注意,以上链接仅供参考,具体的产品选择和使用需根据实际需求进行评估和决策。
相关·内容
2回答
我们有一个独立的Java应用程序(参见),它定期运行并使用Google (从客户数据库/ldap/.更新一些信息)。
为了访问Google,我们将用户名和密码存储在配置文件中,这是一个安全风险,客户不喜欢这样做。因此,我们希望使用OAuth2长寿访问令牌代替。
谷歌OAuth2访问令牌的默认过期时间是多少?
由于应用程序中只有访问令牌,所以当访问令牌过期时,app本身不能刷新它。
就我个人而言,我认为在这种情况下,OAuth2实现不会带来任何重大好处,但让我们关注主要问题--默认过期时间。
浏览 2提问于2012-12-13得票数 73
我被要求升级java代码,以支持用于从服务器发送电子邮件的MS的现代身份验证(目前支持基本身份验证)。我已经有客户、客户和客户的秘密了。我在网上翻阅了很多文章,了解了oAuth2和流程,了解了需要做什么,但我无法真正找到用于这个目的的java库。任何帮助、教程链接或示例代码都会有所帮助。
看了这篇文章:。但是ms服务器的链接不需要信息。
浏览 2提问于2022-08-12得票数 0
这个问题更多的是理论上的,所以我不知道它是否应该在这里。我想使用OAuth2对我的用户进行身份验证。我在谷歌上搜索,发现OAuth 2有很多工作流程,我不知道该用什么。
我的前端是用React开发的,后端是用springboot在java上开发的。
用户保存在数据库或ldap服务器上,具体取决于用户要使用哪种服务器。
我的应用程序也是一个单页面应用程序,它唯一的刷新时间是在用户注销时。
谢谢你的帮忙!
浏览 3提问于2019-04-05得票数 0
2回答
我有一个授权服务器和多个使用OAuth2的资源服务器。所有这些都是使用Spring Security OAuth2实现的。我也有前端客户端,它使用授权代码流生成令牌。
我的情况是,如果刷新令牌的有效性是2小时,而访问令牌的有效性是1小时。首先,获取令牌没有问题(这两个令牌都是新的。1小时后,访问令牌过期。现在假设应用仅在另一个30分钟(经过1.5小时)之后使用现有的刷新令牌来重试新的访问令牌,并且生成新的访问令牌,其有效期为1小时,其比刷新令牌多出30分钟。在前端,我已经在cookie中存储了令牌,刷新令牌在30分钟后被删除。当我再次尝试使用身份验证码流获取令牌时,spring oauth2服
浏览 44提问于2021-03-07得票数 1
1回答
我已经读了好几个月了,看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界:
OAuth2
OpenID连接
水疗中心/移动客户
JWT
以上部分涉及到具有银行级安全质量的解决方案。所以这似乎是有意义的。
在不使用服务器端会话和cookie的情况下使用,因为这个OAuth流比隐式流更安全。
不要创建服务器端会话或cookie(此外,请记住我的cookie,以确定客户端以前是否已经过身份验证)。这是更好的缩放和整体简单性。
将JWT / OpenID连接令牌返回到客户端,以便客户端可以使用它来发出API请求并在客户端内作出授权决策。(我认为这就
浏览 1提问于2017-10-06得票数 5
回答已采纳
我在阅读和阅读,不知道为什么要正确理解OAuth2流是如此困难,我以为我理解它,直到我想要我自己的服务器。
所以我有前端(web +移动应用,也就是资源所有者),我自己的API服务器(资源服务器),我想创建自己的OAuth2服务器。
因此,假设在用户注册时,我将它们注册在我的OAuth2服务器上,保存用户名和散列密码(我还想保存组织/项目名称,这样我就可以为多个项目使用oauth2服务器而不用担心用户名重复)
然后,前端直接使用access+refresh从OAuth2服务器获得password_grant令牌。或者我应该通过我的API来使用CLIENT_ID/CLIENT_S
浏览 1提问于2022-01-06得票数 1
4回答
据我所知:客户端秘密在OAuth1中很重要,但在OAuth2中已经不再那么重要了。
但像谷歌和Twitter这样的公司似乎需要客户机密才能获得访问令牌。
从授权服务器的角度来看(例如Google、Twitter、Github.):在哪些情况下客户端秘密重新推荐/(必需)?
从授权代码中获取访问令牌。
使用刷新令牌获取新的访问令牌。
通过访问令牌获取资源。
仅仅通过授权代码获得访问令牌就足够了吗?或者当有人使用访问令牌获得重新源时,它也应该被执行吗?
TLDR:在我的例子中:客户端秘密是请求“通过授权代码获取访问令牌”和请求“获取新访问令牌&刷新令牌-令牌”所必需的
浏览 0提问于2019-03-27得票数 1
1回答
我正在尝试调试谷歌的Oauth2系统中的一个问题,在该系统中,我看到我们的单个服务器端帐户有多个授权。Google是否提供了获取授权令牌/刷新令牌列表的方法,这些令牌/刷新令牌已颁发给我们的应用程序?我不需要实际的令牌值本身,只需要用户和权限的列表。到目前为止,我还没有在谷歌的文档中找到任何东西。
浏览 4提问于2013-12-10得票数 0
如果oauth2授权发生在本地的android/ios应用程序中,我如何刷新令牌后端端?
我正致力于oauth2与谷歌日历的集成。我的堆栈是作为web客户端的SPA应用程序,我们有一个后端API (在灵丹妙药中)。我们还使用混合本地应用程序,因此我们的JS代码被转换成相应的iOS/Android应用程序(使用电容)。
流动情况如下:
用户授权我们使用oauth2修改他们的日历,我们请求从google 获得离线访问,我们将它发送到后端,它使用auth代码获取访问令牌和刷新令牌,然后这些令牌被保存在我们的DB中,我们使用访问令牌来执行对谷歌日历的更新。当令牌到期时,我们刷新它的后端端。
这就是在网
浏览 5提问于2022-03-25得票数 3
我正在尝试通过Azure中的powershell函数应用程序为用户实现OAuth2身份验证。通过阅读,它特别建议将刷新令牌保存在应用服务器上:
安全地保存refresh_token,这样您的应用程序就不需要提示用户再次授权。访问令牌的过期相对较快,不应持久化。
存储刷新令牌的最佳实践是什么?我可以想出许多方法,但恐怕我会做一些幼稚的事情。
浏览 1提问于2021-04-22得票数 1
1回答
我正在构建一个服务器端应用程序,定期从用户的谷歌设备访问信息,并在满足某些条件时通知他们。 我有一些测试用户注册,他们已经通过谷歌oauth2登录。应用程序已收到其授权码,请求离线访问,并将其刷新令牌存储在单独的数据库位置。然后,该应用程序使用刷新令牌定期轮询其智能设备,以根据需要获得访问权限。 我的问题是,测试用户的刷新令牌在使用几天后就会过期。我在Google上找不到任何关于刷新令牌寿命的文档。刷新令牌过期几天是正常的吗? 如果是这样的话,我的服务器端应用程序将需要太多的用户干预才能有用。
浏览 35提问于2021-01-19得票数 0
1回答
我用React作为前端。我用react-google-login和react-facebook-login登录Google和Facebook。
它给了我前端的accesstoken。
我将这个accesstoken传递给后端(我在hapi中使用Node )。
但是在后端,我如何才能使用userDetails从谷歌或Facebook获得accesstoken,并通过刷新令牌获得新的accesstoken?
更新:
好的,在google oauth2过程中有三个步骤。
取授权码
交换授权代码以获取访问令牌
传递访问令牌以获取用户信息
当我把前端和后端解耦的时候。在这三个步骤中,
浏览 0提问于2018-11-16得票数 3
回答已采纳
因此,我试图在我的本地移动应用程序中使用谷歌登录和苹果登录,这也是我自己的后端服务器。我认为我掌握了OAuth2流和OpenID连接后面ID令牌的概念。我唯一的疑问是,我是否可以/应该使用访问/刷新令牌对来授权对我自己的端点的访问?在苹果的文档中,这一点并没有明确说明,在谷歌的网站上,他们提到你可以使用它来访问Google,但我没有发现你可以将它用于你自己的后端服务器。如果不是,应该如何处理(在验证授权服务器的ID令牌之后生成我自己的访问/刷新令牌对)?
请注意,我只需要通过这些平台对我的用户进行身份验证,我不希望访问其他Google (目前而言)。
TL;DR:我可以使用Apple的/Goo
浏览 7提问于2022-11-16得票数 1
回答已采纳
我刚刚将我们的Box代码升级到OAuth2。
我们已经实现了允许用户在我们的web服务器和他们的Box (以及SkyDrive、Dropbox、Google )帐户之间传输文件的代码。用户的访问和刷新令牌存储在我们的数据库服务器中。
根据,它表示每个刷新令牌的有效期为60天。
SkyDrive和驱动器都使用OAuth2,并且没有刷新令牌到期。是否可能有未过期的刷新令牌?
有些应用程序可能不需要刷新令牌,所以您会考虑引入新的OAuth2作用域吗?
box.read
box.read_write
box.offline_access
浏览 1提问于2013-01-05得票数 5
假设我有一个谷歌应用程序,用户多次使用OAuth2授权我的应用程序,并且我的应用程序存储了授权生成的所有刷新令牌。我的应用程序可以保留多少有效的刷新令牌?每个刷新令牌生成的访问令牌有多少是有效的?
浏览 0提问于2016-02-22得票数 3
1回答
我第一次为Android/iOS应用程序构建了一个后端。我熟悉web应用程序环境中的OAuth2工作流,但我真的不知道在本机应用程序中推荐的方法是什么。
应用程序的后端将需要使用谷歌OAuth2服务器生成的访问令牌来访问用户的配置文件。问题是,是更好地在客户端执行完整的令牌交换链,然后将访问令牌和刷新令牌发送到应用程序后端,还是更好地使用后端端点来执行最后的授权步骤(接收访问/刷新令牌),然后以某种方式向用户设备发送通知,通知它授权完成。有没有这样的功能的例子可以让我看看?理想的方法应该是android和ios之间的类似方法。
谢谢。
浏览 0提问于2017-12-21得票数 0
作为背景,我使用的是Google OAuth2 NodeJS客户端,但我认为我的问题更加抽象/与技术无关。
我的网站是一个单页面的应用程序,通过AJAX与服务器通信。
当用户第一次访问我的网站时,我执行一个OAuth2流程,将他们重定向到谷歌登录,然后使用访问令牌重定向回我的网站。我将这个访问令牌存储在一个cookie中,并使用它来处理通过AJAX对服务器进行的各种调用。
我面临的挑战是,当access_token到期时,我不确定该怎么办。我是否也应该将refresh_token存储在cookie中并使用它,或者这样做有安全问题吗?
我是否应该重定向浏览器以再次执行登录流?对于单页面应用程序来
浏览 0提问于2015-04-24得票数 1
我正在使用mule连接/使用一些服务。身份验证是OAuth2客户端凭据。刷新令牌的最佳方式是什么?一种方法是像这样检查http.status
refreshTokenWhen="#[message.inboundProperties['http.status'] == 401]"
但我对此并不是很满意,因为刷新令牌应该失败一次。有没有办法根据过期时间刷新令牌?我的示例代码:
<mule xmlns:tracking="http://www.mulesoft.org/schema/mule/ee/tracking" xmlns:scripti
浏览 1提问于2017-05-03得票数 0
我目前正在尝试使用Security实现OAuth2身份验证的web服务(API)。据我所知,给定用户、客户端应用程序和服务器,身份验证过程如下:
用户通过客户端从服务器请求资源
客户端从服务器检索请求令牌。
服务器使用临时请求令牌和重定向URL进行响应
客户端加载网页(重定向URL),并允许用户输入凭据以验证请求令牌。表单输入被发送到服务器,客户端不知道输入。
服务器将使用授权代码进行应答,授权代码将传递给客户端。
客户端使用授权代码检索访问令牌(如果请求,还可以选择刷新令牌)。
用户将访问令牌交给客户端
客户端使用访问令牌检索请求的资源。
在Sprin
浏览 0提问于2016-03-01得票数 2
回答已采纳
有些微网络是由Zuul网关支持的,它们都是由Security OAuth2保护的。设想如下:
1-作为OAuth2客户端的Zuul网关。
所有支持的应用程序都是OAuth2资源服务器。
一个应用程序正在作为OAuth2授权服务器(UAA)运行.
OAuth2的流是Authorization code流。在Pricipal调用授权服务器的端点时,所有资源服务器都需要获取用户信息,如下所示:
security:
oauth2:
resource:
user-info-uri: http://localhost:9191/uaa/user
每件事都像预期的那样正常工作。
需要
浏览 1提问于2019-07-26得票数 0
回答已采纳
我正在开发一个永远只使用一个Spotify帐户的应用程序,我不太理解刷新令牌(使用oauth2)。理想情况下,我只想使用Spotify API控制台接收访问令牌和刷新令牌,这样我就可以永远使用它,并且在应用程序运行时不必再担心授权问题。如果我有一个刷新令牌,我可以永远使用该刷新令牌吗?或者,每当我想访问API时,是否需要不断地使用该刷新令牌获得一个新的令牌?
浏览 0提问于2018-02-18得票数 0
回答已采纳
2回答
如何让服务器访问?
、、、、
我正在尝试构建一个web应用程序,它可以访问用户的,而不需要他们的实际存在。因此,基本上是在后台从我的服务器(PHP脚本)添加或修改Google中的事件。
我已经是谷歌日历的oauth2,我为他们提供了一个刷新令牌,这样他们就不用每次重新登录了。他们只登录oauth一次,他们是好的。但是如何才能使服务器能够在后台进行更改呢?
浏览 3提问于2018-10-01得票数 0
回答已采纳
我一直在读谷歌客户端应用程序的oauth2文档。我感到惊讶的是,它没有提到刷新令牌。此外,他们的示例提示access_token的默认TTL为3600秒。显然,我不希望我的活动用户需要每小时重新登录一次。
问:为什么客户端oauth2实现不支持刷新令牌?或者,这是谷歌支持的,但根本没有文档化吗?
浏览 0提问于2014-12-24得票数 2
回答已采纳
1回答
我正在尝试实现OAuth2资源所有者流。我的授权服务器成功地生成了JSON令牌,因此我的下一步是为我的web应用程序实现刷新令牌。
我所读到的所有内容都解释了,当从授权服务器请求访问令牌时,您将资源服务器URL作为client_id包括在内。然后在您的JWT中放入一个aud声明。这是正确的吗?
如果是这样的话,当我尝试实现刷新令牌时,就会出现我的问题。刷新令牌是根据每个客户端发出的,因此client_id字段现在需要标识客户端,而不是资源服务器URL。在这种情况下,我的授权服务器现在不知道该为谁发出令牌,因此它不知道在JWT中添加什么aud声明。
我正在寻找一些关于解决这个问题的最佳方法的建议
浏览 0提问于2015-12-05得票数 3
回答已采纳
我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌。
我可以使用访问令牌(如典型的Oauth2流解释)获得受保护的资源,还可以通过刷新令牌获得新的访问令牌。在这一点上,一切都好。
但是,我也可以使用刷新令牌获得受保护的资源!在Oauth2中正常吗?这两种行为都有刷新令牌吗?
谢谢
浏览 0提问于2015-10-14得票数 0
回答已采纳
1回答
我有一个客户端正在使用OAuth2进行单点登录,并使用自己的登录页面。一旦用户登录,它们将被重定向回我正在构建的React。我想找出的是我的应用程序与OAuth2集成的方法,以确保用户是否还在注册。例如,如果用户仍然经过身份验证,我需要一种检查OAuth2的方法来刷新应用程序。
我是否应该使用快速服务器来管理重定向从AUTHORIZATION_CODE返回的OAuth2?据我所知,OAuth2在重定向url中返回一个AUTHORIZATION_CODE和状态。如果是这样的话,我将如何处理这方面的特快?是否有一个管理此过程的快速插件。
或者我可以绕过使用express,只使用Auth0 Reac
浏览 2提问于2022-03-16得票数 1
2回答
OAuth2规范规定,当使用隐式授予时,授权服务器不得发出刷新令牌。在我们的用例中,我们使用RESTful保护OAuth2 API,并使用单个Page应用程序作为该API的客户端。由于访问令牌过期后很难重定向到授权服务器,因此我们正在寻找一种获得新的有效令牌的更好方法。我可以想出两种不同的方法,想知道哪一种更好:
使用隐藏的iframe重新分配有效的访问令牌。为此,必须包括“prompt=none”这样的参数,该参数告诉OAuth提供程序既不挑战身份验证,也不显示授权页。如果用户经过身份验证并已授权应用程序,服务器将在urls #参数中发送一个访问令牌。如果前面的条件之一没有得到满足,它将
浏览 2提问于2014-07-22得票数 31
我有一个建立在oAuth2上的网络应用程序,已经在5+上生产了很多年了。用户使用Google进行身份验证和授权,并授予我的应用程序访问Google数据的权限。
突然间,当刷新我的用户oAuth2令牌时,我看到了大量的失败。这是呼叫:
传递这些参数: client_id=xxyyzz client_secret=xxyyzz grant_type=refresh_token refresh_token=xxyyzz
这似乎是在不那么活跃的帐户上(即,在我们代表他们进行调用的情况下,这可能是15+天)。我必须联系他们,让他们的"ReAuthorize“对抗谷歌,以使事情顺利进行。
1)谷歌
浏览 1提问于2016-11-08得票数 2
回答已采纳
1回答
阅读一些关于Oauth 2流中刷新令牌的目的的类似文章,它们对于用户参与的身份验证(如用户名和密码)是有意义的,但是对于Oauth2客户端凭据流来说,为什么要冒使用刷新令牌的风险呢?
是否系统压力较小,或者在新的访问令牌过期后使用刷新令牌获得新的访问令牌比通过客户端id和客户端秘密身份验证获得访问令牌更快?
引用的帖子:
浏览 0提问于2018-12-26得票数 1
回答已采纳
在服务器中,我使用OAUth2来使用access_token和refresh_token保护Web。
但我不知道如何在MVC客户机中使用refresh_token?
如果access_token过期,当用户使用MVC时,请求将无法转到服务器API,因此会丢失一些内容。我的意思是: MVC客户端何时可以自动刷新令牌?
浏览 1提问于2016-02-29得票数 3
回答已采纳
优步OAuth2刷新令牌呼叫返回以下错误:
invalid_grant
invalid_grant提供的授权授予(例如授权代码、资源所有者凭据)或刷新令牌无效、过期、被撤销、与授权请求中使用的重定向URI不匹配,或者是颁发给另一个客户端的。
重定向URI、刷新令牌、客户端id没有更改。除了中断先前刷新尝试的网络问题或服务器问题之外,还有什么可能导致此错误?
我从另一篇文章中读到以下内容。是真的吗?
如果在令牌未过期时尝试刷新,您将得到一个"invalid_grant“错误。
溶液
在浏览了Uber OAuth2登录页面后,浏览器一直在存储登录cookie,因此将其应用于
浏览 0提问于2016-12-08得票数 0
回答已采纳
1回答
目前,我正在研究我的实习公司。公司使用OAuth2方法在公司的web应用服务和合作伙伴的API之间进行集成,但是它不支持知道用户是谁。此外,我发现了一个问题,公司将刷新令牌和访问令牌放在web浏览器的会话存储中。就我的研究而言,web应用程序可以使用劫持方法进行攻击。另一件事是,有些集成只使用API键进行握手。我的假设是:
公司需要在OAuth2之前实现OIDC。
会话存储上的刷新和访问令牌需要加密,但我不知道这是否可能
只使用API键的公司需要实现OAuth2。
我的问题是:
OAuth2方法是保护身份验证的最佳方法吗?
是否可以在会话存储web浏览器上加密令牌?
浏览 3提问于2022-04-12得票数 0
在我的web应用程序中,我使用SAML2承载断言配置文件从WSO2 API管理器获得OAuth令牌。当同一个用户在两个不同的会话中登录到web应用程序时,我陷入了一个问题。
在第一次登录时,API给这两个属于同一个用户的会话提供了两个唯一的OAuth令牌。我认为这是因为SAML断言是不同的,即使用户是相同的。
当令牌过期时,问题就会出现。刷新令牌的第一个会话将获得一个新的令牌。但是,当第二个会话试图刷新它的令牌时,它会给出异常。
java.io.IOException: Server returned HTTP response code: 400 for URL: https://host:
浏览 1提问于2014-07-08得票数 1
回答已采纳
我正在阅读关于OAuth2如何工作的文章。这是一个很好的来源,我想我已经了解了OAuth2如何工作的基本知识。
当阅读Authorization grant时,这涉及到授予对应用服务器(我的服务器)的访问权,该服务器通过注册的重定向URI交换从授权服务器(如facebook)接收的授权代码。
然后,我的服务器将此授权代码交换为access_token和刷新令牌。当访问令牌过期时,刷新令牌将用于获取新的访问令牌。
从这个流中,我看到facebook给出的授权代码只从我的服务器上使用一次就可以得到。对于后续请求,不使用此授权代码。这是对的吗?
如果用户在访问令牌过期的3天后登录到我的服务器,我的服
浏览 3提问于2014-10-24得票数 3
回答已采纳
我是蟒蛇和oauth2的超级菜鸟,但在这件事上我还是浪费了很多时间,所以如果你们能帮我一把,我会永远感激你的。
目标:编写一个脚本来下载文件--从google驱动器下载所有5分钟的文件:获取带有令牌的凭据,并下载一次问题:如何刷新令牌?
我实现了一次得到我的令牌,但我不知道该做什么,这样我就不需要每次重建一个刷新令牌.
我真的不知道我是否弄错了oauth2,但是我读过它应该被存储并且(有存储方法,对吗?)
谢谢:)
浏览 2提问于2015-11-30得票数 0
回答已采纳
2回答
我正在用rails编写一个Google日历应用程序。OAuth2访问令牌将在1小时后过期。我的问题是,如果有人填写了我想推送到Google日历的表单,当他们填写表单时,访问令牌过期,他们必须通过整个重新身份验证过程,我不知道如何保留整个请求(表单提交)并在我的令牌刷新后重新提交。
我知道使用DB、保存参数、路径、请求方法以及所有这些都是可能的……但我想要做的是将所有内容保存在某种会话变量中,一旦谷歌OAuth访问令牌有效,它就会自动将整个请求重新提交给我的应用程序。
有什么想法吗?
浏览 2提问于2013-07-26得票数 0
3回答
我已经阅读了大量关于OAuth和OpenID连接的文章,但这个问题专门涉及OAuth2资源所有者密码授予(又名OAuth2资源所有者凭据授予,又名OAuth2密码授予)。
一些资源(比如贾斯汀·里奇的"OAuth2 in Action“一书)说,不使用OAuth2资源所有者密码授予进行身份验证()--参见书中的6.1.3节。
其他好的资源,比如下面的,都说我们可以使用OAuth2资源所有者密码授权来通过受信任的应用程序对用户进行本质的身份验证
但是,我很难理解为什么我们不应该使用OAuth2资源所有者密码授权作为认证成功的本质证据?
我对资源
浏览 7提问于2017-11-23得票数 6
1回答
使用OAuth2实现(无论是内部开发的,还是谷歌、脸书、亚马逊登录等第三方开发的),是否可以代表登录到移动应用程序或web应用程序的用户生成验证码,而无需用户执行任何操作?
获取身份验证码的典型流程要求用户对请求的作用域进行身份验证和授权。但在本例中,用户已经通过了应用程序的身份验证,因此我希望避免要求用户再次登录。
调用最终将交换用于刷新/访问令牌的验证码的外部第三方API需要验证码。后端系统(与API关联)需要根据与其共享的身份验证码获取自己的刷新/访问令牌。这不是为了一次性使用令牌;系统需要为该登录用户拥有自己的令牌,独立于移动客户端。
浏览 10提问于2020-02-20得票数 4
我正在为受OAuth2保护的服务器编写一个小型OAuth2客户端。
我想知道是否可以使用AFOAuth2Manager自动刷新过期令牌。
其思想是,在服务器使用401响应时刷新客户端,或者在刷新方法返回401时引发错误的逻辑应该非常常见,因此很可能是在某些库中集成的。
浏览 4提问于2015-03-09得票数 10
回答已采纳
1回答
我使用OAuth2授权机制对我的移动应用程序访问我的资源服务器。我已经定义了具有其秘密的客户端,命名为mobile_client,并使用授权代码授权获得刷新令牌。我还有一个用户user@app.pl正在两部手机上使用我的应用程序。我注意到偷令牌有问题。
场景如下:
+---------------+
(Phone 1)----------- Refresh Token1----------->| Authorization |
(Phone 1)<--- Access Token1+
浏览 1提问于2018-10-09得票数 1
Azure AD中的OAuth2客户端秘密/密钥的发布期限分别为1年和2年。这意味着我们的秘密/密钥将在大约一年后过期。我们非常担心这将打破“刷新令牌”的步骤,我们的服务将停止对数百名已授权Yoxel访问其Office 365帐户的活跃用户的工作。这对我们来说是一个巨大的问题,因为我们的许多客户都是企业用户,他们不想被重新授权的请求所困扰。我们的服务在后台运行,他们几乎忘记了它的存在。
你能对这个话题发表评论吗?我们有没有办法确保我们现在拥有OAuth2访问/刷新令牌的现有用户在我们为我们的客户端id生成新的密钥/密钥时,不需要重新授权Yoxel来访问他们的帐户?
谢谢。
浏览 1提问于2017-05-01得票数 0
我有一个基于Oauth2的授权服务器。与访问令牌一起发送刷新令牌。
我可以用访问令牌获取一个资源,当它过期时,我用刷新令牌请求一个新的资源。
但是,我也可以获得具有刷新令牌的资源...这是Oauth2的典型行为吗?我认为这个刷新令牌只用于请求新的访问令牌,而不是用于获取受保护的资源。
谢谢。
浏览 0提问于2015-10-14得票数 1
我正在开发一个PHP脚本来显示一个页面,其中包含一些关于我的分析配置文件的图表和统计数据。我向服务器发送3或4个ajax异步调用;然后服务器使用google-api-php-client获取数据。每刷新一次页面,谷歌就会收到大约10个请求。
问题是,我从api中得到了完全随机的异常:
致命错误:在第242行的apoAuth2.php中,带有消息'Error‘刷新OAuth2令牌的未命名的异常'apiAuthException’
有一次我成功地获得了数据,但一次没有。这很烦人,因为我找不到为什么是。什么会是?可能是异步调用?
用户配额设置为1000个请求/秒,只是为了确保。最终
浏览 2提问于2012-01-18得票数 0
回答已采纳
目前,我正在工作的应用程序中,用户能够登录到谷歌。作为登录过程的一部分,我们需要将Google访问令牌和刷新令牌发送到服务器端。
我正在通过以下方法检索访问令牌,
mAccountName = googleSignInAccount.getEmail();
String scopes = "oauth2:profile email";
String token = null;
try {
token = GoogleAuthUtil.getToken(activity.getApplicat
浏览 0提问于2016-02-02得票数 16
1回答
自几天以来,刷新令牌已自动过期。
、、、、
我们在Google控制台上有谷歌OAuth2 Web客户端,在OAuth2客户端的帮助下,我们获得了每个用户的刷新令牌(通过使用Web身份验证和Concert屏幕),我们将接收到的刷新令牌存储到数据库中,并且系统用户为登录用户(我们大约有1000个用户)自动创建Google事件。
问题:自几天以来,刷新令牌已自动过期,并收到以下错误。
{“错误”:"invalid_grant","error_description":“令牌已过期或被撤销”}
当用户做重新注册系统收到新的刷新令牌和一切再次开始工作,但经过一段时间(不确定,但在不到一两天),他们再次开始获得令牌已
浏览 0提问于2020-10-11得票数 2
根据的说法,讨论现在已经开始了。
不管我读多少书,我都搞不懂谷歌OAuth2令牌是怎么工作的。阅读文档和许多其他地方表明,refresh_token不会过期,并且在access_token过期后使用。请参阅上的官方文档
然而,在实践中,似乎如Paul ()所描述的那样,当访问令牌到期时,刷新令牌到期。
谷歌工程师能否确认正确的行为应该是什么,因为这似乎是行为和文档不匹配的情况。
它还会使刷新令牌变得无用。
浏览 1提问于2013-05-16得票数 5
回答已采纳
我使用"OAuth和Google登录“和”授权代码流“作为我在google应用程序上的操作链接。我使用编写了自己的服务器,并在其中实现了谷歌身份验证,并将其部署到Heroku。我在浏览器中测试了它,它运行良好,成功地提供了访问令牌和刷新令牌,但我面临的问题是,当我将它与我在谷歌应用程序上的操作集成时,它正确地执行身份验证,并且没有将accessToken发送回我的应用程序,我不知道应该在“令牌URL”字段中放什么。下面是服务器的代码。
passport.use(new GoogleStrategy({
// authorizationURL: 'https://ac
浏览 0提问于2018-11-02得票数 2
回答已采纳
似乎IdentityServer4只会将访问令牌作为cookie传递到头部,除非我做了resourceownerpassword,它将传递一个访问令牌,但不会传递刷新令牌。我需要直接在头文件中传递访问和刷新令牌,如下所示
HTTP/1.1 200 OK Content-Type: application/json
{ "access_token": "eyJz93a...k4laUWw",
"token_type": "bearer"
"refresh_token": "sd4rR68...
浏览 0提问于2018-05-19得票数 0
你好,网络上善良的人们。
GoogleOAuth2.0是否支持资源所有者密码凭据流的OAuth流?如果支持...and,那么:
A.)这种类型的OAuth流能在Google OAuth2游乐场上测试吗?
B.)在GoogleOAuth2.0和Google中是否有“资源所有者密码凭证流”的例子?
根据最近在奥斯陆NDC进行的OAuth演示,这个主题流显然跳过了授权终结点,直接与OAuth2服务器的令牌端点对话。请求语法咒语应该如下所示:
grant_type=password&
scope=resource&
user_name=owner&
password=passw
浏览 3提问于2013-09-05得票数 7
回答已采纳
2回答
我有一些问题,因为我不太明白如何实现身份验证流。
阅读一些文档我在下面找到了图像
现在,我了解了访问令牌和刷新令牌,但我不知道如何实现它。
我有一个项目,前端是角的,后端是node.js koa,前面有微服务体系结构和网关。我可以使用auth0,如oauth2授权服务器,并将用户存储在其中?
多么?在auth0文档中有大量的指令,我无法理解哪一个适合我。
我必须拦截登录、注销和通过网关注册并重定向到auth0,还是必须在我的用户微服务中这样做?
在我的项目中,有个人信息表和公司表,用户表有意义吗?
以这种方式,我公司所有项目的授权服务器sso都是吗?
我可以添加外部公司的SSO吗?
我可
浏览 6提问于2020-03-11得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
