oauth-2.0相关内容

Azure AD 授权端点请求管理员同意

您好,我正在尝试使用从 下载的示例应用程序在 Asp.Net 应用程序中嵌入 PowerBI 报告这里.我正在使用 UsersOwnData 流. 同一门户已创建 Azure AD 应用注册,其权限如下图所示.尽管所有权限都不需要管理员同意,但当我点击授权端点时,我收到一条错误消息,提示需要管理员同意,如下图所示.我错过了什么吗? 解决方案 该应用程序注册为多租户应用程序,尽管它不是 ..

是否可以使用 Gitlab 作为 oauth 提供者?

我知道可以通过外部提供商登录 Gitlab 比如 Github.但是,我想知道 Gitlab 的 oauth 是否可用于对我的应用程序的用户进行身份验证? 是否有我可以使用的 oauth 端点? 解决方案 既然建议应该是可以的"第三方应用的 Oauth 系统"似乎用 GitLab 7.7 (即将发布的) 拥有像 Github 这样的应用程序管理的 oauth 身份验证系统会很强 ..
发布时间:2022-01-10 11:39:57 其他开发

高效的 OAuth2.0 服务器/提供者将如何工作?

我可能需要为我正在创建的 API 实现 OAuth2.0 服务器.此 API 将允许第 3 方代表用户执行操作. OAuth2.0 有 3 个电源调用.首先,有一个电话提示用户同意.这将返回一个 code.第二个是 code 与 access token 交换的地方.最后,access token用于代表用户调用API. 为了实现,我认为第一次调用会生成一个随机字符串,它充当 code ..

如何使用 JwtSecurityTokenHandler 和 JWKS 端点验证 JWT?

我正在制作使用 IdentityServer4 来保护多个服务的原型,但需要注意的是,这些服务可能不会被迁移(在可预见的将来)以使用 ASP.NET Core 的 OWIN 中间件惯用语.因此,我无法通过简单地提供 IdentityServer 的知名 JWKS 端点等方式来利用许多中间件助手来自动验证 JWT. 如果我能重建这种行为就好了,我想利用微软的 JwtSecurityTokenH ..
发布时间:2022-01-10 09:32:38 C#/.NET

JSON Web 令牌过期

在大部分 JWT (JSON Web Token) 教程中(例如:this 和 this) 说,一旦验证你可以使用传入令牌来获取客户端信息而不从数据库验证它. 我的问题是,无效用户的情况如何维持?我的意思是,假设客户刚刚获得了一个一周后到期的 JWT 令牌.但是出于非常具体的原因,假设我们决定使用户无效,并且不希望用户访问我们的 API.但是该用户仍然拥有有效的令牌,并且用户可以访问 API ..
发布时间:2022-01-10 09:27:06 其他开发

为什么我的令牌被拒绝?什么是资源 ID?“无效令牌不包含资源 id (oauth2-resource)"

我正在尝试为 spring 项目配置 OAuth2.我正在使用共享 UAA(来自云代工厂的 oauth 实现)实例我的工作场所提供(所以我没有尝试创建授权服务器,并且授权服务器与资源服务器分开).前端是一个单页应用程序,它使用隐式授权直接从授权服务器获取令牌.我有 SPA 设置,它在每个对微服务的 Web API 调用上添加 Authorization: Bearer 标头. ..
发布时间:2022-01-10 09:23:33 Java开发

具有单页应用刷新访问令牌的 Oauth2 隐式流

我正在使用 Thinktecture AuthorizationServer (AS),它运行良好. 我想写一个可以直接调用 WebAPI 的原生 javascript 单页应用,但是隐式流不提供刷新令牌. 如果进行 AJAX 调用,如果令牌已过期,API 将发送重定向到登录页面,因为数据使用动态弹出窗口,这将中断用户. Facebook 或 Stackoverflow 如何做到 ..
发布时间:2022-01-10 09:22:24 前端开发

JWT 和 Web API (JwtAuthForWebAPI?) - 寻找示例

我有一个以 Angular 为前端的 Web API 项目,我想使用 JWT 令牌保护它.我已经进行了用户/通行证验证,所以我认为我只需要实现 JWT 部分. 我相信我已经选择了 JwtAuthForWebAPI,所以一个使用它的例子会很棒. 我假设任何没有用 [Authorize] 修饰的方法都会像往常一样运行,并且如果客户端传递的令牌不匹配,任何用 [Authorize] 修饰的方 ..
发布时间:2022-01-10 09:21:02 C#/.NET

Azure AD B2C 令牌返回名称,但 User.Identity.Name 为空

我有一个 Azure AD B2C 令牌,它似乎正确地返回了当前登录的用户名.这是我登录后用于解码应用程序返回的令牌的 jwt.ms 的屏幕截图: 但是,我尝试在 _Layout.cshtml 中使用 @User.Identity.Name.为什么它是空的?不应该等于截图中的“name"值吗? 解决方案 原来我错过了注释标记的行: app.UseOpenIdConnectAuth ..
发布时间:2022-01-10 09:18:56 其他开发

如果用户通过社交登录登录,移动应用程序如何使用后端 API 进行身份验证?

我试图了解移动应用上社交登录之间的基本组织和登录流程,以及该应用如何从后端烧瓶 api 请求资源. 如果用户通过 Facebook 登录应用,后端 api 如何根据该登录提供资源?因为后端似乎不知道用户已使用 Facebook 登录. facebook 是否需要向应用程序发送令牌,然后后端 api 会使用 facebook 验证? 解决方案 我建议你先阅读一下单点登录机制: ..
发布时间:2022-01-10 09:17:29 其他开发

WSO2 APIM - 在 JWT 有效负载中添加用户角色

我正在开发一些通过 WSO2 APIM 公开 REST 的 SpringBoot 微服务. 微服务本身不实现任何类型的身份验证或授权机制,它被委托给 APIM. 如果我按照描述将 API 设置为使用密码授予 这里,前端应用可以认证生成JWT token. 现在的问题是我无法从 JWT 有效负载中获取用户角色,因为 APIM 没有添加它.此信息很重要,因为前端会根据用户角色呈现菜单 ..
发布时间:2022-01-10 09:15:59 其他开发

使用不透明的访问令牌会使我的服务器有状态吗?

我试图在身份验证的上下文中了解 RESTful API 中的无状态性.这是场景: 用户登录. 服务器验证用户名和密码,并生成一个不透明的访问令牌.它缓存了一些与此令牌相关的信息——例如,过期时间、userId、此令牌是否在过期前显式失效等. 令牌被发送给客户端,客户端在以后的每个请求中发送它. 列表项 菲尔丁的论文将无国籍定义为: “...这样从客户端到服务器的每个请求 ..
发布时间:2022-01-10 09:15:36 其他开发

基于 OAuth 和基于 Token 的身份验证有什么区别?

我认为 OAuth 基本上是基于令牌的身份验证规范,但大多数时候框架的行为似乎它们之间存在差异.例如,如下图所示,Jhipster 询问是使用基于 OAuth 的身份验证还是基于令牌的身份验证. 这些不是一回事吗?由于两者都在其实现中包含令牌,究竟有什么区别? 解决方案 这是一个很好的问题——关于令牌和 OAuth 存在很多混淆. 首先,当您提到 OAuth 时,您可能指的是 ..
发布时间:2022-01-10 08:55:01 其他开发

OAuth 还是 JWT?使用哪一个,为什么?

我开始学习基于令牌的身份验证,我正在尝试学习如何在 Laravel 5 中实现它.我遇到了两种非常流行的技术,但我很困惑,因为我对这两种技术都不熟悉. Medium 上的这篇文章说我应该去lucadegasperi/oauth2-server-laravel 我敢肯定这是社区中非常受欢迎的软件包从 Github 上的星星数量和引我上它的参考文献的数量来看.这个应该可以帮助我实现 OAuth. ..
发布时间:2022-01-10 08:46:38 其他开发

将 JWT 存储在数据库中是否有意义?

我已经使用 Spring Boot、Spring Security、OAUTH2 和 JWT 作为身份验证令牌实现了一个基本身份验证系统.它工作正常,但我在想是否有意义将 JWT 存储在数据库中并在每次有人使用它发出经过身份验证的请求时检查是否存在令牌?我特别考虑了以下场景:用户在移动设备中进行了身份验证,并且他们丢失了它,因此他们想要取消对该设备的授权.然后,他们将能够发出一个操作,清除颁发给他 ..
发布时间:2022-01-10 08:41:07 其他开发