为什么在使用授权密码和授权码请求令牌时,我得不到相同的声明?
在使用授权密码和授权码请求令牌时,无法得到相同的声明的原因可能有以下几点:
- 授权方式不同:授权密码和授权码是两种不同的授权方式。授权密码是直接使用用户名和密码进行授权,而授权码是通过先获取授权码,再使用授权码获取令牌的方式进行授权。因此,使用不同的授权方式可能导致得到不同的声明。
- 授权范围不同:在请求令牌时,可以指定授权的范围,即令牌的权限。不同的授权方式可能对应不同的授权范围,因此得到的声明也可能不同。
- 授权服务器配置不同:不同的授权服务器可能对授权方式的处理逻辑有所不同,包括验证方式、令牌生成方式等。这些差异可能导致在使用不同的授权方式时得到不同的声明。
总之,使用授权密码和授权码请求令牌时得到不同的声明可能是由于授权方式、授权范围或授权服务器配置等因素的差异所致。为了获得相同的声明,可以确保使用相同的授权方式,并在请求令牌时指定相同的授权范围。
相关·内容
我已将Identity Server客户端设置为能够使用密码和授权码授权,我可以同时使用这两种授权,但在查看令牌时,它们不包含相同的声明,这是假设的工作方式,还是我缺少某些配置?如果这是它的工作方式(每个授权中的不同声明)
浏览 16提问于2021-09-21得票数 0
回答已采纳
1回答
在MSAL浏览器中,acquireTokenSlient get在每次调用令牌终结点时都会刷新令牌。第一个刷新令牌的持续时间为1天。后续的刷新令牌都缩短了(剩余的)过期时间。在刷新令牌最终到期之后,如果存在AD会话,则在进行令牌调用之前在iframe中返回授权码。如果身份验证代码的静默检索失败
浏览 3提问于2021-03-31得票数 1
我有一个后端是用Laravel 5.2构建的,前端是用AngularJS构建的。我希望端点只能从我的前端访问。我应该检查什么?
API key是什么方式?
浏览 0提问于2016-02-04得票数 0
我有一个原生ios应用程序,当在应用程序中使用apple登录时,在用户成功通过身份验证后,apple服务器将身份令牌、授权码和用户标识符返回给应用程序,之后,应用程序会向我的服务器发送带有身份令牌和授权码的请求所以我想问的是,我是否可以直接验证身份令牌,或者需要使用授
浏览 53提问于2020-05-14得票数 0
回答已采纳
我在一台独立的机器上安装了WSO2应用程序接口管理器。我有一个java客户端(假设是PSVM),其中包含在APIM上注册的应用程序的必要客户端Id和Secret。在Java中,我们是否可以仅使用客户端Id和Secret来获取持有者令牌。我有以下代码,但它需要用户名和密码。公共令牌getToke
浏览 1提问于2016-07-22得票数 0
查看此,它在OAuth2中详细说明了客户端应用程序首先必须从授权服务器获取授权授权,然后使用该授权获取令牌,然后才能访问资源服务器。拨款的目的是什么?为什么不在用户使用他/她的用户名和密码登录后立即将令牌给客户端?
浏览 2提问于2017-10-10得票数 0
我已经在trustpilot中设置了我的应用程序,因为我想使用它的API。我有API密钥和密钥。到目前一切尚好。但是当我使用它通过邮递员获得授权代码时,我得到的是HTML响应而不是密钥。我遵循这里给出的授权代码流:
我在postman中使用
浏览 6提问于2018-07-08得票数 0
我有几个问题。当使用授权代码流时,是否需要验证客户端的时间?在一般的OAuth提供程序实现中,从授权代码中获取访问令牌的过程只能工作一次。从这一点看,授权代码流似乎已经支持了不使用现在的重放攻击?在
浏览 3提问于2016-11-19得票数 3
回答已采纳
我使用Flask和Python请求库来完成此任务,但在我连续发送了几个POST请求以从Spotify获取访问令牌(使用从前面的逻辑获得的授权码)后,它开始失败。我指的是来自此链接的授权代码流的步骤4:
我知道授权码是有效的,因为在我
浏览 30提问于2017-07-17得票数 2
回答已采纳
他描述的工作流程是:客户端应用程序通过浏览器连接到授权端点。用户输入凭证,身份验证服务器对用户进行身份验证,并使用重定向发送授权码。客户端应用拦截浏览器活动并提取授权码。向令牌端点发出新的请求以及该认证码、客户端id和很少的其他信息。作为回报,app获得访问和刷新令牌。是什么阻止某人在第一步(比如通过浏览器历史记录)窃取身份验证
浏览 1提问于2019-01-30得票数 0
2回答
使用Open ID Connect时,当使用混合流时,code id_token token响应类型的值是什么?
这将返回一个包含授权码、身份令牌和访问令牌的响应。在响应中已经有访问令牌的情况下,授权码是多余的吗?
浏览 2提问于2019-01-16得票数 2
我用oath2做了我自己的认证服务器(没有使用任何facebook或google),我想知道在移动设备上首先在哪里存储客户端秘密。由于共享首选项可以在根电话上被黑客攻击,而访问令牌请求需要客户端id,因此我面临着一个问题。
(请不要将此问题标记为重复,因为我在类似的帖子中没有找到答案)
浏览 0提问于2016-05-01得票数 2
3回答
我一直在尝试使用简单的REST客户端以及Mozilla的REST插件。我得到了“HTTP/1.1401未授权”响应,正文中包含"{"error":"unauthorized_client",“error_description”:“客户端未授权”}。我已经成功获取了授权码,下面是访问令牌的POST
浏览 1提问于2014-02-10得票数 1
我读了Youtube开发者网站上的文档,它没有提到任何有效性。
OAuth 2.0标准是否定义了有效期,或者授权令牌在用户手动撤销之前是否有效?
浏览 5提问于2012-09-12得票数 3
我一直在犯这个错误
$url = BASE_URL .context = stream_context_create($options);与我的api一起使用的中间件通过url参数或标头接受授权;
浏览 10提问于2017-07-31得票数 3
回答已采纳
1回答
在我的Android Wear应用程序中:{ "access_token":"MY_ACCES
浏览 1提问于2017-10-15得票数 0
我在ASP.NET核心2.2 AddJwtBearer中使用oauth2授权码流。我的令牌端点返回JWT access toke,以及检查用户权限所需的所有声明。其中一个声明指向我们可以撤销的内部会话密钥。 所以我的问题是,为什么我需要ID令牌,甚至是刷新令牌?声明和
浏览 20提问于2019-05-05得票数 1
回答已采纳
我有一个windows服务(无用户交互),它调用受保护的服务(例如,调用REST / WEB API)。我尝试使用客户端凭据流,但看起来IdentityServer3不理解客户端凭据流。知道这里的问题是什么吗?IdentityServer3是否支持客户端凭据流?在IdentityServer3中使用客户端凭据流的正确方式是什么?以下是我的客户端代码,它最终从IdentityServer3获得内部服务器错误响
浏览 0提问于2016-10-19得票数 0
我已经看过这个文档了:-
在最后一步,它接收授权码,然后显示了使用java或python库接收访问令牌和刷新令牌的示例,但我在nodejs中找不到任何类似的示例。如何使用nodejs复制相同的示例?难道我不能只向google oauth api发送post或get请求,然后使用授权码
浏览 0提问于2017-05-12得票数 11
回答已采纳
我正在尝试使用oauth2标准实现我自己的授权服务器。在读取授权码流规范后,请求API访问的第三方应用程序需要来自授权服务器的授权码,然后该授权码将用于交换访问令牌。我的问题是,一旦我从我的授权服务器生成
浏览 117提问于2021-11-10得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
