access-token相关内容
我收到 您的访问令牌已过期.请在提交请求之前更新它. 当我调用 https://graph.windows.net/myorganization/oauth2PermissionGrants?api-version=1.5 端点时. 为了防止出现任何愚蠢的问题 - 是的,我知道推荐使用 Microsoft Graph 而不是 Azure AD Graph.我知道它并且我正在使用它.但对于我目
..
您好,我正在尝试使用 Facebook 服务器端身份验证来获取访问令牌,但不断向我抛出错误. 我正在使用波纹管: $app_id = "YOUR_APP_ID";$app_secret = "YOUR_APP_SECRET";$my_url = "YOUR_URL";session_start();$code = $_REQUEST["code"];如果(空($代码)){$_SESSION
..
在 Microsoft oData v4 代理客户端中,可以选择将身份验证令牌添加到每个请求中.可以通过以下方式实现: var container = new Default.Container(new Uri(http://localhost:9000/));//注册BuildingRequest事件的句柄.container.BuildingRequest += (sender, e) =>
..
希望这不是太宽泛,但经过大量谷歌搜索后,我不知道从哪里开始.我正在寻找介绍/新手概述,以帮助我开始为 rails 3 应用程序构建身份验证实现. 基本技术要求: Rails 3 应用程序托管在第三方服务 (heroku) 上 需要使用特定的外部私有 SSO 服务来验证用户. rails 应用程序中没有本地用户数据库或模型. 身份验证是基于令牌的,这意味着需要读取一个特殊的 coo
..
为什么授权头主要用于向服务器发送不记名令牌?为什么我们不将我们的授权令牌作为 URL 参数发送或将其作为 json 负载与请求正文一起发布? 解决方案 Headers 非常适合保存这些数据,它们独立于请求类型. 您可以在正文中发送授权令牌,甚至其他所有内容,例如Content-Type、Content-Length、缓存标头,但请求类型不同(POST,GET..) 可以有不同的请求正
..
在授权代码授予流程中,一旦公共客户端(例如单页应用程序 (SPA))获得 OAuth 2.0 访问令牌,SPA 应将其保存在何处? 将访问令牌存储在区域设置存储或会话存储中会导致跨站点脚本 (XSS) 攻击,因此应避免这种情况. 将访问令牌存储在非 httpOnly cookie 中也会导致 XSS 攻击,因此也应避免这种情况. 将访问令牌存储在 httpOnly cookie 中在技术
..
我应该采取哪些安全措施来确保在我的数据库遭到破坏时,长寿命访问令牌不会被盗? 长期访问令牌与特定服务的用户名和密码一样好,但从与其他人的交谈来看,似乎大多数(包括我自己)以纯文本形式存储访问令牌.这似乎与以纯文本形式存储密码一样糟糕.显然不能加盐&散列令牌. 理想情况下,我想对它们进行加密,但我不确定这样做的最佳方法,尤其是在开源项目中. 我想这个问题的答案类似于存储支付信息和
..
我有一个与 REST API 服务器通信的 Angular 应用程序 (SPA),我有兴趣找出存储从 API 服务器返回的访问令牌的最佳方法,以便 Angular 客户端可以使用它来验证未来对 API 的请求.出于安全原因,我想将其存储为浏览器会话变量,以便在浏览器关闭后不会保留令牌. 我正在使用资源所有者密码授权实现一个稍微定制的 OAuth 2.0 版本.Angular 应用程序为用户提
..
我正在为一个项目实施 OAuth,我想知道处理刷新令牌的最佳方式. 我调用的 API 将返回一个带有 access_token、expires_in 和 refresh_token 的 JSON 对象.所以我想知道,是否更好: 计算access_token的到期时间,存入数据库.每次调用 API 时检查 access_token 是否过期,如果过期则使用 refresh_token 获
..
在用户注册后的 Web Api 2 Identity 2 应用程序中,我在单个表中有一条记录:AspNetUsers.我使用以下 http 请求来获取令牌: POST https://localhost:44304/Token HTTP/1.1接受:应用程序/json内容类型:application/x-www-form-urlencoded接受编码:gzip内容长度:68主机:本地主机:443
..
(免责声明:这篇文章中的 access_tokens 和 appIds 是假的,只是为了看起来真实) 我正在尝试使用对以下内容的调用来生成 access_token: https://typeokentoauth/.=client_credentials&client_id=123456789000000&client_secret=03252f2ff1eddffe234a0dc725
..
我使用 JWT 为我的应用验证用户身份.当用户登录时,他们会获得一个访问令牌和一个刷新令牌.为了保证刷新令牌的安全,我不会将其存储在客户端,而是将其与他们的帐户一起保存在后端,因此不容易访问.不过,我对刷新令牌的安全性感到困惑,这是我在阅读有关如何使用刷新令牌的在线资源时所理解的逻辑: 验证 在某处存储访问令牌 + 刷新令牌(在我的情况下,前端的访问令牌和后端的刷新令牌) 执行 api
..
我有一个使用 Spring-Security-oauth2 构建的单独的 ResourceServer.这是代码 RemoteTokenService. @Bean公共资源服务器令牌服务令牌服务(){RemoteTokenServices tokenServices = new RemoteTokenServices();tokenServices.setClientId("sample_tes
..
我想验证我们所有的 get 请求在其身份验证标头中是否都有特定的令牌. 我可以将其添加到我们的 get 端点: app.get('/events/country', function(req, res) {如果(!req.headers.authorization){return res.json({ error: '没有发送凭据!' });} 在 NodeJS/Express 中有没有
..
是否可以使用 OAuth2 access_token 访问 Google 阅读器订阅?我创建了 Google APIs 项目,设置了域并创建了接收 OAuth2 令牌的 javascript 代码.它适用于其他 Google API,但不适用于 Google Reader OPML 订阅.谁能给我提示一下? 解决方案 看来我已经自己解决了.诀窍是从浏览器获取“代码"令牌后,您应该调用 ht
..
我正在按照 Shopify 说明获取特定应用/商店组合的永久令牌 (http://api.shopify.com/authentication.html). 我能够获取临时令牌,然后使用简单的 html 表单来接收永久令牌: 但我得到的回应是:{"error":"invalid_request"} 你能帮我吗?我到处搜索(Stackoverflow、Shopify 支持论坛等),
..
我正在使用 Apache Oltu 框架实现 OAuth 2.0 提供程序服务器,寻找有关如何在 Java 中生成访问令牌和秘密令牌的一些想法.请指教. 解决方案 OAuth 2.0 规范 没有说明如何生成令牌和秘密令牌.因此,您是使用一些现有/锚定数据来生成令牌还是想使用随机序列来生成令牌取决于您.唯一的区别是,如果您使用可能已知的数据(例如用户数据,例如用户名、创建日期加上等),您可以
..
我终于得到了 JWT 令牌身份验证的登录方法. 我打电话给 await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme,ClaimsPrincipalFactory.CreatePrincipal(claims),authProps); 我也打过电话 await HttpContext.
..
我正在使用 NodeJS 开发 REST api.对于身份验证,我决定使用 Passport.我想要真正的 RESTful api.所以这意味着我必须使用令牌而不是会话. 我想让用户使用用户名和密码登录,或者使用 Facebook、Google 和 Twitter 等社交网络. 我制作了自己的 OAuth2.0 服务器,用于使用 oauth2orize 模块发布 Access 和 Re
..
我正在学习 OAuth,但我有一个问题,我找不到答案.. 我了解请求令牌以授权或不授权应用程序使用 API.但是一旦用户获得了访问令牌,如果有人窃取了他的访问令牌会怎样? 想象一下,我们有类似 http://www.example.com/api/article/1?access_token=******access_token****** 如果我将此 url 提供给另一个用户,
..