oauth相关内容

REST 身份验证方案的安全性

背景: 我正在为 REST Web 服务设计身份验证方案.这并不“真的"需要安全(它更像是一个个人项目),但我想让它尽可能安全,作为练习/学习体验.我不想使用 SSL,因为我不想要麻烦,而且主要是不想要设置它的费用. 这些 SO 问题对我开始特别有用: RESTful 身份验证 保护 REST API/Web 服务的最佳实践 最佳 SOAP/REST/RPC Web API ..
发布时间:2021-11-27 10:46:38 其他开发

AWS API Gateway - 将访问令牌与 Cognito 用户池授权方一起使用?

我正在配置一个具有各种前端(移动和 Web 应用程序)和单个 API 后端的应用程序,由 Lambda 提供支持并通过 AWS API Gateway 访问. 由于我计划使用 Cognito 对用户进行身份验证和授权,因此我在我的 API 网关和多个 API 方法上设置了 Cognito 用户池授权方. 对于这样的架构,从 OAuth 的角度来看,我的应用程序(例如 iOS 或 Vue ..
发布时间:2021-11-27 09:24:22 其他开发

将服务连接到现有的流星帐户

我正在设置一个流星应用程序,需要使用用户名和密码进行注册,然后希望将该帐户与 facebook 和 twitter 相关联. 我已经轻松启动并运行了第一部分,只需使用帐户包.但是当我有一个登录的用户调用 Meteor.loginWithFacebook() 时,它会将它们注销并创建一个新帐户.我想要的是将 facebook 凭据添加到当前登录用户的东西. 流星文档有这个: {_id: ..
发布时间:2021-11-26 21:03:20 前端开发

从 gdata.gauth.OAuthHmacToken python 对象中检索令牌和秘密

我正在关注 Google 很棒的示例代码用于三足式 OAuth. 具体来说,我正在查看代码的 python 版本.我被困在“升级到访问令牌"和“使用访问令牌"之间. 在“升级到访问令牌"中,有一行代码如下: access_token = client.GetAccessToken(request_token) 在“使用访问令牌"中,有一行代码如下: client.auth_tok ..
发布时间:2021-11-26 20:01:00 Python

OAuth2 刷新令牌.如何在客户端存储它

有授权OAuth2服务器来获取访问+刷新令牌.据我了解,访问令牌可以存储在客户端,因为它的直播圈很短.但是刷新令牌可以存储在那里吗?根据我阅读的信息,没有安全的方法可以做到这一点(此处) 所以,我必须实现单独的服务器端服务,只是为了存储刷新令牌. 我说得对吗?是否只有一种可能的方式来存储刷新令牌? 附言客户端:angularJS 解决方案 是的,你说得对.如果您无法通过授 ..
发布时间:2021-11-26 20:00:42 前端开发

在 Web Api 2 中授予刷新令牌时更新角色

我根据 Taiseer 的博客. 这是我的问题.假设以下场景:用户使用密码登录并获得刷新令牌和访问令牌.访问令牌实际上包括他的角色(因此他在应用程序中的权限).同时系统管理员会改变这个人的角色,所以一旦他的访问令牌过期并且他想使用刷新令牌获取新的访问令牌,他的新访问令牌必须包括他新更新的角色. 在我的“RefreshTokenProvider"类中,我在“GrantResourceOw ..
发布时间:2021-11-26 19:59:45 其他开发

OAuth 令牌安全

据我所知,OAuth 标准对 OAuth 的实际行为方式非常宽松,但是... 我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中.如果这些代币被泄露,它们会被第三方使用吗?即,给定的令牌是否仅绑定到我的 api 和密钥? 解决方案 令牌与给定的服务和用户相关联.有了这些,你就可以假装成那个用户了.例如,它不与任何 IP 地址或设备 UUID 绑定(尽管可以这样做作为额外 ..
发布时间:2021-11-26 19:58:44 其他开发

使用 Twitterizer 存储 Twitter 访问令牌

我正在尝试将特定用户的 Twitter 访问令牌存储到我的数据库中,因此他不需要在每次想要发布新推文时都批准该应用程序. 我可以使用 Twitterizer 轻松获取用户访问令牌,我得到的是 OAuthTokenResponse 对象.它由几个属性组成,但是对于每个请求(例如发布一条推文),它都要求 OAuthTokenResponse 对象,所以看起来仅存储 Token 属性还不够? ..
发布时间:2021-11-26 19:58:16 其他开发

使用 MIcrosoft Graph (accessToken) 进行 Firebase 身份验证

我非常希望有人能帮助我 - 我有点卡住了. 我很高兴将 Firebase 身份验证与 Microsoft AD 结合使用.我的 AuthProvider 是 firebase.auth.OAuthProvider('microsoft.com'). 当我使用该提供程序调用 firebase.auth().signInWithPopup() 时,一切正常.我可以从生成的 UserCred ..
发布时间:2021-11-26 19:57:16 其他开发

在 hybridauth 中恢复访问令牌

我将访问令牌(使用此方法:getAccessToken())保存在我的数据库中,但现在我想将此值恢复到一个对象中. 我该怎么做? 解决方案 hybridauth 用户手册对此进行了解释,代码如下: //从你的存储系统中获取存储的混合验证数据$hybridauth_session_data = get_sorted_hybridauth_session( $current_user_ ..
发布时间:2021-11-26 19:54:39 其他开发

禁用 offline_access 并从应用设置中删除应用后,我不再获得扩展访问令牌

** 看起来这是 Facebook 之后修复的一个错误. 我禁用了 offline_access 以便我可以获得扩展访问令牌而无需请求 offline_access 权限. 在测试时,起初似乎运行良好.我得到了一个 60 天后过期的令牌.然后我从 facebook 的应用程序设置中删除了该应用程序,以便我可以进行测试.我一删除它,我就开始收到 2 小时后过期的令牌. 这是一个错误 ..
发布时间:2021-11-26 19:54:20 其他开发

为什么我们更喜欢 Authorization Header 向服务器发送承载令牌而不是 URL 编码等其他技术

为什么授权头主要用于向服务器发送不记名令牌?为什么我们不将我们的授权令牌作为 URL 参数发送或将其作为 json 负载与请求正文一起发布? 解决方案 Headers 非常适合保存这些数据,它们独立于请求类型. 您可以在正文中发送授权令牌,甚至其他所有内容,例如Content-Type、Content-Length、缓存标头,但请求类型不同(POST,GET..) 可以有不同的请求正 ..
发布时间:2021-11-26 19:53:13 其他开发

安全地存储访问令牌

我应该采取哪些安全措施来确保在我的数据库遭到破坏时,长寿命访问令牌不会被盗? 长期访问令牌与特定服务的用户名和密码一样好,但从与其他人的交谈来看,似乎大多数(包括我自己)以纯文本形式存储访问令牌.这似乎与以纯文本形式存储密码一样糟糕.显然不能加盐&散列令牌. 理想情况下,我想对它们进行加密,但我不确定这样做的最佳方法,尤其是在开源项目中. 我想这个问题的答案类似于存储支付信息和 ..
发布时间:2021-11-26 19:52:53 其他开发

OAuth 刷新令牌最佳实践

我正在为一个项目实施 OAuth,我想知道处理刷新令牌的最佳方式. 我调用的 API 将返回一个带有 access_token、expires_in 和 refresh_token 的 JSON 对象.所以我想知道,是否更好: 计算access_token的到期时间,存入数据库.每次调用 API 时检查 access_token 是否过期,如果过期则使用 refresh_token 获 ..
发布时间:2021-11-26 19:52:34 其他开发

无法接收我的 Shopify 应用的永久访问令牌

我正在按照 Shopify 说明获取特定应用/商店组合的永久令牌 (http://api.shopify.com/authentication.html). 我能够获取临时令牌,然后使用简单的 html 表单来接收永久令牌: 但我得到的回应是:{"error":"invalid_request"} 你能帮我吗?我到处搜索(Stackoverflow、Shopify 支持论坛等), ..
发布时间:2021-11-26 19:51:34 其他开发

为什么不能窃取访问令牌?

我正在学习 OAuth,但我有一个问题,我找不到答案.. 我了解请求令牌以授权或不授权应用程序使用 API.但是一旦用户获得了访问令牌,如果有人窃取了他的访问令牌会怎样? 想象一下,我们有类似 http://www.example.com/api/article/1?access_token=******access_token****** 如果我将此 url 提供给另一个用户, ..
发布时间:2021-11-26 19:50:59 其他开发

使用 Python-oauth2 在 python 中为 tumblr API 初始化 Oauth 客户端

我是 Oauth 的新手.过去,对于用 Python 编写的 twitter 应用程序,我使用 python-oauth2 库来初始化客户端,如下所示: consumer = oauth.Consumer(key = CONSUMER_KEY, secret = CONSUMER_SECRET)令牌 = oauth.Token(密钥 = ACCESS_KEY,秘密 = ACCESS_SECRET ..
发布时间:2021-11-26 19:50:49 Python

如何使 Google 登录令牌的有效期超过 1 小时?

我已成功实施谷歌登录. 我能够对用户进行身份验证,作为响应,我收到了令牌.但是令牌会在 1 小时后过期. expires_in: "3600" 我尝试在文档中搜索 - https://developers.google.com/identity/sign-in/web/reference - 但找不到延长令牌寿命的参数. 我真正想要做什么? https://devel ..
发布时间:2021-11-26 19:50:20 其他开发

由于几天刷新令牌已自动过期

我们在 Google API 控制台有 Google OAuth2 Web 客户端 在 Oauth Web 客户端的帮助下,我们为每个用户获取刷新令牌(通过使用 Web 身份验证和音乐会屏幕) 我们将收到的刷新令牌存储到数据库中,并且系统使用此用户特定的刷新令牌来代表登录用户自动创建 Google 日历事件(我们有大约 1000 个用户) 问题:几天后刷新令牌已自动过期并出现以下错误. ..
发布时间:2021-11-26 19:48:30 其他开发

时钟偏差和令牌

我需要帮助来了解时钟偏差的工作原理.我们定义时钟偏差来处理两方之间的时间变化.但是,我的困惑是: 我们拥有令牌本身的所有信息,例如令牌创建时间和到期时间 可以验证令牌 令牌在服务器上创建 那么,为什么我们需要时钟偏差?谁能给我举个例子说明它是如何工作的,以及它在哪些情况下会导致问题或好处? 解决方案 让我们考虑一个短期访问令牌.当我向服务器发出请求时,服务器将检查我的令牌是 ..
发布时间:2021-11-26 19:47:23 其他开发