access-token相关内容

Azure AD 在有效访问令牌上返回 Authentication_ExpiredToken

我收到 您的访问令牌已过期.请在提交请求之前更新它. 当我调用 https://graph.windows.net/myorganization/oauth2PermissionGrants?api-version=1.5 端点时. 为了防止出现任何愚蠢的问题 - 是的,我知道推荐使用 Microsoft Graph 而不是 Azure AD Graph.我知道它并且我正在使用它.但对于我目 ..
发布时间:2021-11-26 19:53:46 其他开发

菜鸟的 Rails 身份验证策略

希望这不是太宽泛,但经过大量谷歌搜索后,我不知道从哪里开始.我正在寻找介绍/新手概述,以帮助我开始为 rails 3 应用程序构建身份验证实现. 基本技术要求: Rails 3 应用程序托管在第三方服务 (heroku) 上 需要使用特定的外部私有 SSO 服务来验证用户. rails 应用程序中没有本地用户数据库或模型. 身份验证是基于令牌的,这意味着需要读取一个特殊的 coo ..
发布时间:2021-11-26 19:53:20 其他开发

为什么我们更喜欢 Authorization Header 向服务器发送承载令牌而不是 URL 编码等其他技术

为什么授权头主要用于向服务器发送不记名令牌?为什么我们不将我们的授权令牌作为 URL 参数发送或将其作为 json 负载与请求正文一起发布? 解决方案 Headers 非常适合保存这些数据,它们独立于请求类型. 您可以在正文中发送授权令牌,甚至其他所有内容,例如Content-Type、Content-Length、缓存标头,但请求类型不同(POST,GET..) 可以有不同的请求正 ..
发布时间:2021-11-26 19:53:13 其他开发

SPA 应该在哪里保存 OAuth 2.0 访问令牌?

在授权代码授予流程中,一旦公共客户端(例如单页应用程序 (SPA))获得 OAuth 2.0 访问令牌,SPA 应将其保存在何处? 将访问令牌存储在区域设置存储或会话存储中会导致跨站点脚本 (XSS) 攻击,因此应避免这种情况. 将访问令牌存储在非 httpOnly cookie 中也会导致 XSS 攻击,因此也应避免这种情况. 将访问令牌存储在 httpOnly cookie 中在技术 ..
发布时间:2021-11-26 19:53:03 其他开发

安全地存储访问令牌

我应该采取哪些安全措施来确保在我的数据库遭到破坏时,长寿命访问令牌不会被盗? 长期访问令牌与特定服务的用户名和密码一样好,但从与其他人的交谈来看,似乎大多数(包括我自己)以纯文本形式存储访问令牌.这似乎与以纯文本形式存储密码一样糟糕.显然不能加盐&散列令牌. 理想情况下,我想对它们进行加密,但我不确定这样做的最佳方法,尤其是在开源项目中. 我想这个问题的答案类似于存储支付信息和 ..
发布时间:2021-11-26 19:52:53 其他开发

如何在 Angular 应用程序中存储身份验证令牌

我有一个与 REST API 服务器通信的 Angular 应用程序 (SPA),我有兴趣找出存储从 API 服务器返回的访问令牌的最佳方法,以便 Angular 客户端可以使用它来验证未来对 API 的请求.出于安全原因,我想将其存储为浏览器会话变量,以便在浏览器关闭后不会保留令牌. 我正在使用资源所有者密码授权实现一个稍微定制的 OAuth 2.0 版本.Angular 应用程序为用户提 ..
发布时间:2021-11-26 19:52:45 其他开发

OAuth 刷新令牌最佳实践

我正在为一个项目实施 OAuth,我想知道处理刷新令牌的最佳方式. 我调用的 API 将返回一个带有 access_token、expires_in 和 refresh_token 的 JSON 对象.所以我想知道,是否更好: 计算access_token的到期时间,存入数据库.每次调用 API 时检查 access_token 是否过期,如果过期则使用 refresh_token 获 ..
发布时间:2021-11-26 19:52:34 其他开发

如何保护刷新令牌?

我使用 JWT 为我的应用验证用户身份.当用户登录时,他们会获得一个访问令牌和一个刷新令牌.为了保证刷新令牌的安全,我不会将其存储在客户端,而是将其与他们的帐户一起保存在后端,因此不容易访问.不过,我对刷新令牌的安全性感到困惑,这是我在阅读有关如何使用刷新令牌的在线资源时所理解的逻辑: 验证 在某处存储访问令牌 + 刷新令牌(在我的情况下,前端的访问令牌和后端的刷新令牌) 执行 api ..
发布时间:2021-11-26 19:52:08 其他开发

使用 Express 验证请求头

我想验证我们所有的 get 请求在其身份验证标头中是否都有特定的令牌. 我可以将其添加到我们的 get 端点: app.get('/events/country', function(req, res) {如果(!req.headers.authorization){return res.json({ error: '没有发送凭据!' });} 在 NodeJS/Express 中有没有 ..
发布时间:2021-11-26 19:51:52 其他开发

使用 OAuth2 access_token 访问 Google 阅读器订阅

是否可以使用 OAuth2 access_token 访问 Google 阅读器订阅?我创建了 Google APIs 项目,设置了域并创建了接收 OAuth2 令牌的 javascript 代码.它适用于其他 Google API,但不适用于 Google Reader OPML 订阅.谁能给我提示一下? 解决方案 看来我已经自己解决了.诀窍是从浏览器获取“代码"令牌后,您应该调用 ht ..
发布时间:2021-11-26 19:51:45 其他开发

无法接收我的 Shopify 应用的永久访问令牌

我正在按照 Shopify 说明获取特定应用/商店组合的永久令牌 (http://api.shopify.com/authentication.html). 我能够获取临时令牌,然后使用简单的 html 表单来接收永久令牌: 但我得到的回应是:{"error":"invalid_request"} 你能帮我吗?我到处搜索(Stackoverflow、Shopify 支持论坛等), ..
发布时间:2021-11-26 19:51:34 其他开发

OAuth 2.0 生成令牌和秘密令牌

我正在使用 Apache Oltu 框架实现 OAuth 2.0 提供程序服务器,寻找有关如何在 Java 中生成访问令牌和秘密令牌的一些想法.请指教. 解决方案 OAuth 2.0 规范 没有说明如何生成令牌和秘密令牌.因此,您是使用一些现有/锚定数据来生成令牌还是想使用随机序列来生成令牌取决于您.唯一的区别是,如果您使用可能已知的数据(例如用户数据,例如用户名、创建日期加上等),您可以 ..
发布时间:2021-11-26 19:51:25 Java开发

使用 Passport 和 OAuth2 + 社交网络的 NodeJS REST 身份验证

我正在使用 NodeJS 开发 REST api.对于身份验证,我决定使用 Passport.我想要真正的 RESTful api.所以这意味着我必须使用令牌而不是会话. 我想让用户使用用户名和密码登录,或者使用 Facebook、Google 和 Twitter 等社交网络. 我制作了自己的 OAuth2.0 服务器,用于使用 oauth2orize 模块发布 Access 和 Re ..
发布时间:2021-11-26 19:51:07 其他开发

为什么不能窃取访问令牌?

我正在学习 OAuth,但我有一个问题,我找不到答案.. 我了解请求令牌以授权或不授权应用程序使用 API.但是一旦用户获得了访问令牌,如果有人窃取了他的访问令牌会怎样? 想象一下,我们有类似 http://www.example.com/api/article/1?access_token=******access_token****** 如果我将此 url 提供给另一个用户, ..
发布时间:2021-11-26 19:50:59 其他开发