pkce相关内容

B2C身份验证未返回Access_Token

我正在尝试实施授权代码流程与PKCE一个角度的项目。我使用的是ANGLING-auth-oidc-client。我们已经有了基于身份服务器4的现有内部实现,客户端可以很好地使用该实现,但我们现在正尝试将身份验证迁移到Azure AD B2C,而不是在内部进行。 我已经配置了Azure AD B2C和我的客户端应用。配置如下: 以下是我在客户端OIDC服务上的配置: oidcCon ..
发布时间:2022-04-06 09:41:39 其他开发

使用 PKCE 的授权代码流如何比没有 client_secret 的授权代码流更安全

很可能我对这个主题有误解或在实施过程中遗漏了一些东西 我浏览了 Auth0 的文档,用于通过端点而不是 SDK 创建带有 PKCE 的授权代码流,我看到我们提出了如下挑战和验证器(来自 auth0 doc): //依赖:Node.js 加密模块//https://nodejs.org/api/crypto.html#crypto_crypto函数 base64URLEncode(str) ..
发布时间:2021-06-11 19:19:25 其他开发

在带有 PKCE 的 OAuth 2.0 授权代码流中,什么阻止在第一次调用身份验证服务器时拦截代码质询?

想象一下这次攻击 攻击者拦截了对授权服务器的第一次调用,然后他们遇到了代码挑战.(图中的第 1 步) 攻击者现在使用授权代码拦截来自授权服务器的响应.(图中的第 2 步) 然后攻击者可以发布授权代码和代码验证器来获取访问令牌.(第 3 步) 参考这张图:流程: 问题 是什么阻止了攻击者拦截对授权服务器的第一次调用?这就是为了让授权码 + PKCE 比隐式流更安全. ..
发布时间:2021-06-11 19:17:40 其他开发

Spotify PKCE code_verifier 不正确

听到我现在可以使用 Spotify Web API 而无需通过 PKCE 的后端应用程序,我感到很兴奋.不幸的是,我似乎有某种误解,无法让它发挥作用. 一路上我很可能犯了一些小错误,但我犯了一次没有用,我把石板擦干净,再试一次,但仍然没有运气.由此我认为我一定是误解了 文档. 我会解释我在做什么,希望这里有人能指出我遗漏了什么或做错了什么.我假设我有一个基本的概念误解. 我首先使 ..
发布时间:2021-06-11 19:16:00 前端开发

如何从 Angular 获取 OneDrive API 的访问令牌

我有一个 Angular 应用程序,可以让用户上传文件.我计划使用 OneDrive API(我为应用程序设置的 OneDrive 帐户)将这些文件存储在 OneDrive 中. 我知道我们必须使用 OAuth2.0 从网络服务器获取访问令牌,并将该令牌用作不记名令牌以使用 API 来管理我在 OneDrive 中的文件.> 如何在我的 Angular 应用中获取此访问令牌? 我需要 ..
发布时间:2021-06-02 21:47:58 其他开发

Active Directory是否不支持PKCE的授权代码流?

我尝试将当前推荐的授权代码流与PKCE结合使用,以从Active Directory收集访问令牌。客户端将是一个公共Angular SPA,这就是选择该流程的原因。 收集openid配置表AD以及用户的授权码运行良好。 但是我无法从以下端点请求访问令牌: https://login.microsoftonline.com/ {tenantId} / oauth2 / token。 ..
发布时间:2020-06-01 19:03:21 其他开发