腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
3
回答
将令牌传递给客户端
python
、
django
、
authentication
、
oauth
、
python-social-auth
我正在开发一个iOS应用程序,并使用Django作为后端。我在Django中使用了两个应用程序 Django OAuth Toolkit支持OAuth身份验证 支持社会认证的Python Social Auth 社会认证进程应是: 获取本地主机/登录/{应用程序} 应用站点上的身份验证 重定向到本地主机/完成/{应用程序} 获取{应用程序}的访问令牌 使用我服务器的访问令牌创建一个新用户,并将其与{application}的访问令牌相关联 重定向到本地主机/帐户/配置文件 然后,我可以使用服务器的访问令牌与{application}通信。 但是客
浏览 6
提问于2015-09-05
得票数 4
1
回答
使用Azure AD对公共/私有URL进行Web身份验证
azure
、
api
、
authentication
、
web
我们正在做一个从web重定向url的POC。我们把网址分类为公共的和私人的。我们有一个要求,如果网址是公开的,只要重定向从网络api,这是良好的工作。 如果URL是私有的(在url中包含公司域名),我们需要检查身份验证。我们计划使用Azure AD JWT来实现这一点。 请有人告诉我如何从web重定向来认证用户,一旦成功认证,我们需要从web重定向到私有URL。 谢谢
浏览 3
提问于2022-08-09
得票数 0
1
回答
是怎么发生的。标识Server4用户登录页面重定向。重定向网址的目的
asp.net-mvc
、
asp.net-core
、
asp.net-identity
、
identityserver4
我对Asp.net核心身份和身份服务器4非常陌生。我正在学习关于使用asp.net核心和身份服务器4使用开放Id连接实现身份验证的在线培训课程。 如果我进一步说明我的解决方案,将Asp.net核心mvc web应用程序作为客户端。另一个asp.net核心mvc web应用程序IDP (Identity Server4)和另一个asp.net核心mvc web api作为资源服务器。 对于未经身份验证的用户,IDP上的登录页面将出现。我的问题是客户端web (asp.net核心web应用程序)是如何知道用户没有被认证的?我的猜测是,当用户第一次访问web应用程序访问令牌没有出现在授权头上时,身份
浏览 0
提问于2018-09-09
得票数 0
1
回答
在使用其他提供者身份验证服务(如Soundcloud )时,令牌安全?
security
、
authentication
、
soundcloud
、
session-storage
、
http-token-authentication
通过Soundcloud连接按钮进行用户登录过程 按下网站上的按钮,使用api服务器生成的随机令牌启动会话,而不对Soundcloud上的用户进行身份验证。 用户重定向到Soundcloud身份验证页(soundcloud登录页)。 用户应输入他/她的Soundcloud帐户信息。 按下connect后,在api端调用一种方法,根据从SoundCloud发送的params创建用户及其身份验证。api服务器将用户重定向到主页,客户端的脚本将令牌设置为授权到网站的标题。 现在,我关心的是在用户通过soundcloud连接之前启动会话,甚至认为用户不能在不连接到SoundCl
浏览 1
提问于2015-01-16
得票数 4
3
回答
在基于OAuth2的身份验证中,状态参数可以防止什么样的CSRF攻击?
security
、
authentication
、
google-oauth
、
csrf
、
openid-connect
我正在研究Google的身份验证部分。 我使用的是“服务器”流,而不是“隐式”。 在实现步骤1以获取code准则时,建议使用state参数来确保最终服务提供者将收到与他发起的auth请求相关的响应。 请参阅 据我所知,code有可能被偷,redirect_uri猜到了。 但我不明白为什么这叫做反CSRF保护? 根据 CSRF攻击,“利用站点在用户浏览器中的信任”。 据我所知,应该在浏览器中保留一些敏感的内容,以使CSRF攻击成为可能。最经典的例子-认证曲奇。 但是,在浏览器中,与OpenID有关的是什么--连接代码流? 这仅仅是两个后续的重定向从服务提供者到身份提供者和返回。 代码本身在回调时
浏览 3
提问于2019-11-12
得票数 10
回答已采纳
1
回答
如果有人窃取了Oath2 flow中的授权代码,会发生什么情况
oauth
、
oauth-2.0
请参考此视频,特别是从20:00到25:00。 他描述的工作流程是:客户端应用程序通过浏览器连接到授权端点。用户输入凭证,身份验证服务器对用户进行身份验证,并使用重定向发送授权码。客户端应用拦截浏览器活动并提取授权码。向令牌端点发出新的请求以及该认证码、客户端id和很少的其他信息。作为回报,app获得访问和刷新令牌。 是什么阻止某人在第一步(比如通过浏览器历史记录)窃取身份验证令牌,然后联系令牌端点以获取访问和刷新令牌?
浏览 1
提问于2019-01-30
得票数 0
1
回答
ASP.NET web表单和外部身份验证服务
c#
、
asp.net
、
authentication
我有一个(不是ASP.NET!)应用程序。我使用了内置的内部用户身份验证机制,这意味着使用web.config文件: <authentication mode="Forms"> <forms loginUrl="~/Logon.aspx" name=".ASPXFORMSAUTH" timeout="180" slidingExpiration="true"> </forms> </authentication> <authorization&g
浏览 4
提问于2020-01-20
得票数 1
1
回答
我验证了一个来自IdS4的用户,如何在我的MVC客户端中使用此信息?
c#
、
asp.net-core
、
asp.net-core-mvc
、
identityserver4
、
identity
我有一个通过IdS4认证的用户,还有一些声明和一个角色,现在我不知道该用它做什么了。用户的一般流程是:转到我的网站,登录,重定向到IdS4服务器。他们输入他们的用户名/密码,然后重定向回我的网站,并设置cookie。 在我找到的教程中,除了身份验证之外,我没有看到太多东西。我应该/如何持久化用户?我应该在我的MVC站点上设置身份吗?我只是在寻找一个大致的想法,我想我可以弄清楚细节,在这一点上,我的通用谷歌没有找到太多。 谢谢。
浏览 17
提问于2020-02-18
得票数 0
回答已采纳
1
回答
如何在基于JWT-令牌的基础上登录用户后将用户重定向到另一个页面?
javascript
、
asp.net
、
authentication
、
asp.net-core
、
jwt
在我的ASP.NET核心网络应用程序中,我使用一个JWT令牌对用户进行身份验证。 认证过程包括以下步骤: 客户端使用params登录/密码向服务器url发送ajax请求以获取访问令牌 服务器获取请求并发送带有访问令牌和令牌类型的响应。 客户端获取服务器响应并将令牌保存在会话存储中,以便以后使用令牌处理请求。 当客户端有令牌时,他应该将令牌类型和令牌添加到每个请求的标头中,如下面的示例(jQuery.ajax() header部分): 标题:{“授权”:tokenType +‘’+令牌} 客户端将用户从登录页面重定向到主页。在JavaScript中,我可以使用以下代码实现它:
浏览 0
提问于2018-05-11
得票数 2
回答已采纳
1
回答
如何使用OpenID连接在单个页面应用程序和REST之间执行用户注册和身份验证
rest
、
authentication
、
oauth-2.0
、
single-page-application
、
openid-connect
考虑到我们有: SPA或静态生成的JAMStack网站。 REST。 该网站正在与nignx服务,这也是反向代理我们的API。 -- 用户必须能够通过OpenID连接协议向身份提供者(例如谷歌)注册/认证。为了简单起见,让我们假设用户已经在API中注册了。 关于使用OIDC的身份验证,根据我在这个主题上所读到的内容,您所采取的步骤如下: 向IdP注册应用程序,并接收一个客户端id和一个秘密。 当用户在API (/ API /loginWithGoogle)上启动登录请求(与Google一起)时,API在请求会话上设置一个状态变量(以防止CSRF),并将用户代理重定向到I
浏览 4
提问于2022-05-21
得票数 0
回答已采纳
5
回答
会话固定攻击,基于cookie的https会话
session-fixation
一位第三方安全顾问做了一次渗透测试,我们的一些网络应用程序。其中一个发现是潜在的会话固定弱点。 我们有几个We应用程序,都是Java,只有JASIG提供的单点登录。简单地总结一下CAS工作流--当一个新的请求出现在webapp( CAS术语中的服务)时,它会重定向到预设的CAS url。如果用户尚未通过身份验证,则会显示一个登录表单,并在成功地使用令牌将浏览器重定向回服务。如果用户已经通过身份验证,它将立即使用令牌重定向回服务。 上述漏洞源于以下事实:所述服务在身份验证之前重定向到CAS ie时设置会话cookie (名为JSESSIONID),并在重定向后继续使用它。声明是因为相同的会话id
浏览 0
提问于2017-06-27
得票数 0
2
回答
在成功的NodeJS身份验证之后使用Nginx提供静态内容
javascript
、
node.js
、
express
、
nginx
、
jwt
上下文: 我正在尝试构建一个webapp,Nginx充当前端服务器,同时也是后端NodeJS服务器的代理。我想通过适当的认证机制限制对webapp功能部分的访问。身份验证逻辑由NodeJS服务器处理,并使用JWT来处理。 电流: 静态登录页面显示给由Nginx提供服务的用户。 用户凭据被发送到Nginx服务器,Nginx服务器被转发到处理登录逻辑的NodeJS服务器,并在成功的身份验证后发送回JWT令牌。(所有www.base url.com/api请求都被转发到NodeJS服务器) JWT存储在客户端浏览器的localStorage中(由Auth0团队推荐),然后我想将用户重定向
浏览 2
提问于2017-02-15
得票数 4
回答已采纳
1
回答
OAuth2不是用于身份验证的吗?
oauth-2.0
、
openid-connect
我不太明白为什么oauth2用于自动化,OpenID连接用于身份验证。 来自 授权服务器在成功地authenticating资源所有者并获得授权之后,向客户端发出访问令牌。 另一方面,根据代理或依赖方被重定向到某种身份验证页面,以便能够认证用户,不是吗? 此外,我一直读到OpenID连接是建立在Oauth2上的,以便为Oauth2提供身份验证机制。是对的吗?
浏览 3
提问于2017-11-23
得票数 1
回答已采纳
1
回答
Foursquare实时应用编程接口- UserId与身份验证关系
foursquare
在连接的应用程序集成期间,用户被重定向到应用程序开发人员提供的回调url。在身份验证的最后一步,会写入"Save this access token for this user in your database“。但问题是,在此身份验证过程中,您无法获得userId。 我得到了验证码,但无法访问userId。如何获取认证用户的userId ... 致敬..
浏览 1
提问于2013-01-29
得票数 1
回答已采纳
1
回答
如何在一次请求中将经过身份验证的用户(使用JSON Web令牌和本地存储)从登录页面重定向到站点的安全部分?
local-storage
、
jwt
目前正在实现一个用于用户注册、登录等的JSON Web令牌认证系统。该站点由两部分组成: example.com/home -不安全,任何人都可以访问此 example.com/dashboard - secure,仅对授权用户开放 当一个经过身份验证的用户登陆example.com/home (不安全部分)时,我希望自动将他们重定向到安全部分(当然,如果通过了身份验证)。 但似乎主页必须首先加载,然后Javascript需要向服务器发出AJAX请求,以验证Javascript从LocalStorage传递的任何JWT。 显然,这似乎是一个浪费的额外步骤,因为cookie将在初始请求中发送,但
浏览 0
提问于2017-04-10
得票数 0
1
回答
只允许页面上经过身份验证的用户
javascript
、
firebase
、
firebase-authentication
我想知道如何在Firebase中将页面配置为只允许经过身份验证的用户。我在设置我的网站有困难,我希望用户输入登录和密码,并在认证后,将指向他的个人资料。 用户被定向到的配置文件(网页)具有URL www.example.com/"user.uid"/index.html 但是,只有通过身份验证的用户才能访问此页面,因此如果有人访问该URL www.example.com/"user.uid"/index.html 必须将用户定向到主页。 登录页面上的代码: btnLogin.addEventListener('click'
浏览 2
提问于2017-02-18
得票数 0
回答已采纳
1
回答
通过UI移动应用程序进行IdentityServer4直接交互
c#
、
asp.net-mvc
、
asp.net-identity
、
identityserver4
我正在为多个移动应用程序创建一个集中的身份验证系统。它的架构基于OpenID连接流,通过在ASP.NET核心身份上使用OAuth2.0和IdentityServer4。 我希望用户能够注册和认证自己直接从应用程序界面没有任何重定向,涉及打开浏览器。有没有一种方法可以只使用API调用,从客户端后端到集中授权服务器?
浏览 1
提问于2020-05-17
得票数 0
2
回答
OAuth -在磁盘上存储什么
rest
、
oauth
、
google-oauth
、
desktop-application
当在桌面应用程序上使用google时,在磁盘上保存什么以避免重复登录?保存谷歌用户id?还是象征性的?或者是一个会话标识? 我正在创建一个小型桌面应用程序,必须通过我的REST服务器进行身份验证。我用google oauth2来做这个。 这个想法是,当桌面应用程序被认证时,它会生成一些数据,然后发送到我的服务器。服务器将使用从https://www.googleapis.com/userinfo/v2/me接收的google用户id存储数据。 在桌面应用程序的第一次运行中,它将打开默认浏览器,并为我的服务器提供url,并启动本地http服务器。然后: 我的服务器将把浏览器重定向到googl
浏览 2
提问于2016-10-29
得票数 3
回答已采纳
2
回答
在GWT中,如何对页面进行书签并在认证后重定向到它?
spring
、
gwt
、
authentication
、
redirect
、
oauth
我在我的GWT应用程序中实现了一个OAuth2身份验证机制。OAuth2服务器基于SpringFramework3.x(使用其Spring安全OAuth2实现)。 我正在使用OAuth2“授权代码流”来对用户进行身份验证(尽管在我们的例子中,隐式流可能是一个更好的选择)。因此,首先,用户被重定向到OAuth2服务器身份验证页面,输入他的凭据,如果他成功通过身份验证,他将被重定向回一个带有oauth代码的url。然后,他将进行第二个调用,从OAuth2服务器获得一个访问令牌。 现在,问题是,我们希望用户能够在应用程序中对页面进行书签,并且可以直接访问它的。如果他已经通过认证,那么他将可以直接访问
浏览 4
提问于2013-09-03
得票数 1
回答已采纳
1
回答
canvas应用程序和跟踪会话中的Facebook Graph API身份验证
asp.net-mvc
、
facebook
、
oauth
、
facebook-graph-api
简短的问题是:如何使用图形api oauth重定向机制对用户进行身份验证并保存检索到的access_token,并在需要时使用javascript SDK (问题是javascript SDK在初始化时会有不同的access_token )。 我已经初步设置了我的facebook iframe canvas应用程序,具有单点登录功能。这在graph api中工作得很好,因为当facebook的javascript检测到sessionchange(用户登录)时,我可以使用access_token。 但是,我不想做单点登录。但是,使用图形api重定向并强制用户发送到权限对话框。但是,如果他已经给了
浏览 0
提问于2010-05-20
得票数 1
回答已采纳
4
回答
如何与外部提供程序(Google)验证HttpClient连接
c#
、
.net
、
asp.net-web-api
、
openid
、
google-authentication
编辑: 以下是我重新提出的问题: 我有一个带有安全api端点的web服务器--在使用它们之前,必须经过Google的验证。为此,我实现了Challenge和Callback端点。 这在我的SPA网络前端浏览器上运行得很好。用户被重定向到Google网站登录,然后被重定向回我的webapp;然后浏览器拥有经过身份验证的cookie,而webapp可以使用端点更新其状态。 我还拥有一个WPF应用程序,它将与web服务器通信。我希望WPF应用程序与web前端一样:在通过Google认证后使用web端点。WPF应用程序与我的web服务器之间的连接是通过HttpClient完成的。 我的问题是我不知道如
浏览 3
提问于2019-10-23
得票数 1
1
回答
在Wildfly中配置远程用户名
wildfly
、
keycloak
、
openid-connect
按照通常的教程,我成功地将Wildfly 26配置为通过Keycloak进行身份验证。示例: 它按规定工作-当需要时,用户的浏览器被重定向到keycloak,在登录后,它重定向回来。这么多是为了认证。我还检查了是否可以通过运行request.isUserInRole(...)来执行授权,这是当且仅当在密钥斗篷中某个角色与该用户相关联时才是正确的。这么多是为了授权。 但是request.getRemoteUser()和request.getUserPrincipal().getName()方法只返回keycloak的userid,它看起来像896128e8-3260-42c8-9457-3c8e
浏览 3
提问于2022-10-04
得票数 0
2
回答
Oauth2单页应用程序的安全性注意事项
api
、
security
、
oauth-2.0
、
authorization
、
single-page-application
我正在阅读网站Oauth.com,试图理解如何在单页面应用程序中实现安全性,这时我发现了以下声明: “保护没有客户端机密的授权码授予的唯一方法是使用”“state”“参数并将重定向URL限制为受信任的客户端。由于未使用机密,因此除了使用注册的重定向URL外,没有其他方法可以验证客户端的身份。” 如果我理解正确,他说我可以使用注册重定向URL验证我的SPA的身份。 问题1:如果我将授权码重定向到url (web服务器),如何在浏览器中运行的SPA中找回它(或访问令牌或受保护的资源)? 问题2:可以在此注册的url中执行哪种检查来验证我的SPA身份?
浏览 1
提问于2020-08-21
得票数 0
1
回答
在没有快递的reactjs中实现单点登录(Saml2)
reactjs
、
single-sign-on
、
saml-2.0
、
wso2-identity-server
我想用SAML2实现wso2 ei中的 我去检查我是否通过认证 如果没有通过身份验证,我应该重定向到should 当我成功地登录sso身份提供者时,我用令牌重定向到我的反应性应用程序。 然后将令牌保存到本地存储,然后继续 我已经尝试了Passport和Express,在服务器端呈现正在进行。但我希望它在客户端有反应,步骤: 我进入我的主页并点击登录页面。 它带我到wso2身份提供者,然后我登录 然后我重定向到我的特快应用程序。
浏览 0
提问于2019-03-29
得票数 1
回答已采纳
1
回答
关于Spring OAuth2架构的建议
spring
、
authentication
、
spring-security-oauth2
、
oauth2
我正在尝试构建spring-angular2 (spring的新手)应用程序,我选择OAuth2作为安全模型。我的新应用程序有3个部分。认证服务器,后端服务器和前端(angular 2)。目前,我仅将OAuth2用于身份验证目的 根据我目前的设计,我的服务器(业务层)将与身份验证服务器通信以进行身份验证(基于authorization_code),并将接收OAuth2令牌(短期访问令牌和长期刷新令牌)。我在这里的目的是在需要时使用这个刷新令牌来生成访问令牌,直到它过期,然后重定向到auth服务器进行登录。所有令牌管理都将在服务器上处理,前端不会知道这方面的任何事情。 现在有了这个设计,当我运行
浏览 0
提问于2016-09-13
得票数 0
2
回答
重定向至登录Jasig CAS后请求的最后一个页面
spring-mvc
、
cas
我在Spring应用程序中使用Jasig CAS。CAS身份验证筛选器bean的配置如下所示: <bean id="authenticationFilter" class="org.jasig.cas.client.authentication.AuthenticationFilter"> <property name="casServerLoginUrl" value="https://localhost:8443/cas/login"/> <property name="servi
浏览 2
提问于2016-01-22
得票数 4
2
回答
AAD实现回复url
active-directory
、
azure-active-directory
我正在尝试将我的应用程序与AAD身份验证集成在一起,但是我在AAD应用程序中配置的replyurls是 https://www.example1.com/abc/account/login.aspx 但是,当我在身份验证后返回时,会被重定向到 https://www.example1.com/ 只有和我的请求来作为认证,但我希望用户重定向到完整的网址,我已经配置。 我尝试在启动类中配置应用程序时像发送一样发送RedirectUri,用户被重定向到此url时,但该时间请求未通过身份验证 有人知道我将如何实现这一点吗? 提前谢谢你。
浏览 1
提问于2018-04-04
得票数 0
1
回答
在下一个路由调用中,在一个处理程序函数中的请求对象上设置的值丢失(未定义
javascript
、
node.js
、
express
、
mongoose
我有一个登录路径,如果用户成功登录,它会将用户的id从数据库附加到request对象的req.session.user属性: router.route('/za/login') .get(onlyGuest, (req, res) => { res.render('login', { layout: false }); }) .post(onlyGuest, async(req, res) => { try { const user = await User.findByCredentials(req.body.email, r
浏览 26
提问于2020-12-31
得票数 2
1
回答
URL重定向到提供GET参数的#(而不是?)
query-string
、
dropbox-api
根据Dropbox文档,GET到将呈现Dropbox身份验证网站,认证后将客户端重定向到指定的重定向URI,访问令牌作为GET参数。但是,重定向到的URL为GET参数提供了#(而不是?)。 例如,如果我使用,我将得到 (注意#符号的存在以及查询字符串开头缺少符号)。 有什么想法吗?
浏览 4
提问于2014-01-21
得票数 1
回答已采纳
2
回答
在使用OAuth 2.0执行谷歌授权后,从Spring Boot服务器重定向到使用JWT的React客户端
reactjs
、
redirect
、
oauth-2.0
、
jwt
、
spring-security-oauth2
我有一个Spring Boot服务器,它通过使用谷歌作为身份验证提供者来执行整个OAuth 2.0授权流程。我使用Spring库,它已经为像OAuth和Facebook这样的提供商提供了OAuth端点的过滤器。 我有一个React前端,当用户单击登录时,它会打开一个新窗口,其中的URL指向服务器上的Google authorisation端点,从而启动此流程。 当服务器成功地对用户进行身份验证并从Google检索到JWT令牌时,我需要将此令牌传递回React前端并存储令牌,以便用户可以使用它向我的后端API发出授权请求。 据我所知,我无法让前端向后端发送get请求以获取令牌,因为OAuth授权
浏览 41
提问于2021-05-09
得票数 2
2
回答
使用SAML 2协议的WIF /使用CAS的联合AD FS 2.0
single-sign-on
、
cas
、
wif
、
adfs2.0
我现在正在尝试使用WIF和AD FS 2.0实现一个基于声明的身份的Web SSO。现在,我有一个现有的ASP.Net应用程序,它将身份验证委托给AD FS2.0服务器并信任颁发的安全令牌。这很好用。 然而,在组织中存在支持SAML 2协议的现有JA-SIG中央认证服务(CAS)服务器。我想用现有的CAS服务替换AD FS 2.0。 在我的理解中,WIF使用WS-Federation,它就像SAML令牌周围的容器。可以使用普通的SAML2协议及其绑定(重定向或POST)吗?如果这是不可能的(正如我猜测的那样),第二个替代方案可能是使用联邦成员身份,并将AD FS 2.0与CAS联合。这有可能吗
浏览 3
提问于2010-03-20
得票数 3
回答已采纳
1
回答
使用Oauth2客户端和Express.js服务器使用Passport.js的完整的Express.js身份验证流程
node.js
、
express
、
authentication
、
vue.js
、
passport.js
我很难理解如何使用从OAuth2身份验证流接收到的Bearer令牌。 在我的例子中,客户机是Vue.js,服务器是Express.js,身份验证中间层是Passport.js。 护照和身份验证流程的配置是标准的: 这是一种OAuth2护照策略(在我的例子中是Asana) 服务器上有调用passport.authenticate的路由/auth/asana。 服务器上有路由/auth/ Asana /cb,用于从Asana返回。 有一个成功的URL指向客户端。 一步一步这就是我要做的: 在client/home用户上,单击"Authenticate“,然后重定
浏览 1
提问于2019-06-26
得票数 0
1
回答
重定向后从URL中删除AuthSub标记
jquery
、
authsub
当使用AuthSub身份验证时,在用户登录到谷歌服务后,他们会被重定向回原始页面,并在URL中使用身份验证令牌: http://www.example.com/?token=XXXXXXXXXXXXXXXXXXX 是否可以在页面重定向时删除此标记? 此外,当使用Jquery的$.get函数发出this GET请求(到AuthSub页面)时,为什么不执行成功回调函数?
浏览 2
提问于2011-02-25
得票数 0
2
回答
获取访问令牌时出现服务帐户API错误
google-cloud-platform
、
google-developers-console
、
google-people-api
我正在为我们的web应用程序测试google。步骤: 我在google控制台()中创建了新项目 我启用了People API 我为我的应用程序和API键创建了所需的凭据web客户端。 我使用p12键创建了服务帐户,用于服务器到服务器的查询,并启用了"Google域范围的委托“。 我配置了OAuth同意屏幕,配置了授权给google并访问人员API: /auth/userinfo.email /auth/userinfo.profile /auth/联系人/auth/contacts.readonly所需的范围。 然后,我的PHP脚本使用"Google c
浏览 2
提问于2021-10-14
得票数 0
3
回答
当使用带有角度2+的社会信号时,组件之间的信息是以什么方式传递的?
angular
、
oauth
、
oauth-2.0
、
jwt
、
auth0
我计划以如下方式支持我的应用程序的多个登录选项(包括使用google和facebook的社交登录)。当用户单击google/facebook登录时,打开一个新窗口,用户身份验证完成,服务器返回JWT,(我存储在本地存储中,并使用)前一个窗口(或父窗口)知道成功的身份验证。 这个流程运行良好(对于正常的服务器端身份验证),但我正在考虑将JWT存储在本地存储中可能引起的安全问题。在使用社会签名时,共享认证信息的标准方法是什么? 是否有更好的方法将JWT/身份验证详细信息从子窗口(进行身份验证的地方)传递给父窗口?另一种选择是使用Eventemitters在两个组件之间传递信息,但是使用社交信号和j
浏览 0
提问于2018-01-25
得票数 3
回答已采纳
1
回答
春季OAuth2中的身份验证类型:如何通过用户凭据进行身份验证?
oauth-2.0
、
spring-security-oauth2
我目前正在尝试使用Security实现OAuth2身份验证的web服务(API)。据我所知,给定用户、客户端应用程序和服务器,身份验证过程如下: 用户通过客户端从服务器请求资源 客户端从服务器检索请求令牌。 服务器使用临时请求令牌和重定向URL进行响应 客户端加载网页(重定向URL),并允许用户输入凭据以验证请求令牌。表单输入被发送到服务器,客户端不知道输入。 服务器将使用授权代码进行应答,授权代码将传递给客户端。 客户端使用授权代码检索访问令牌(如果请求,还可以选择刷新令牌)。 用户将访问令牌交给客户端 客户端使用访问令牌检索请求的资源。 在Sprin
浏览 0
提问于2016-03-01
得票数 2
回答已采纳
2
回答
Express.js的Restful认证和会话管理
node.js
、
api
、
rest
、
authentication
、
express
我已经对RESTful认证进行了大量的研究,但我仍然不清楚如何设计我的web体系结构。我有许多问题没有答案。 我希望我的API服务于移动和网络,我使用的是快递v4。 我不想像许多帖子所建议的那样使用基本身份验证,或者我可以使用Passport中间件,但我想使用基于令牌的身份验证或类似或更好的身份验证,我想进行身份验证,这样我可以更好地理解它,但我不确定如何实现它。 我将在下面简化我的预期身份验证架构: 新用户的注册 客户端 将用户名和密码发布到服务器(我知道如果您想使连接安全,则使用https连接,否则我会公开我的凭据,或者除了https之外还有其他选项吗?否则,我需要使用带有时间
浏览 0
提问于2014-06-05
得票数 11
2
回答
仅当用户未通过身份验证时重定向至登录react
javascript
、
reactjs
、
authentication
、
react-router
我正在尝试在react应用程序中实现简单的身份验证系统。到目前为止,我用谷歌实现了OAuth。用户成功登录后,我从google获得此令牌,然后将其存储在cookies中。这部分工作正常..因此,在App.jsx组件中,我声明了路由并创建了一个PriveRoute组件。我只是添加了必要的代码 App.jsx中的路由 <Switch> <Route path={`${this.props.match.url}/checkout`} component={Checkout} /> <PrivateRoute path={`${this.props.matc
浏览 21
提问于2020-04-25
得票数 0
1
回答
使用IdentityServer验证用户身份
asp.net-core
、
oauth-2.0
、
identityserver4
、
openid-connect
我正在使用identityserver4 A对网站B的客户端和用户进行身份验证,一切运行正常,但现在我需要允许这些用户从另一个网站C请求存储在网站B中的密钥,方法是单击网站C中的一个按钮,打开一个新窗口,将用户重定向到identityserver4并对其进行身份验证,然后关闭此页面,响应返回给呼叫者网站C。这样做的最佳实践是什么?简而言之,我想让我的网站B和IdentityServer4在网站使用它作为外部身份提供者时表现得像谷歌一样
浏览 23
提问于2021-02-07
得票数 0
2
回答
揭开CSRF的神秘面纱?
security
、
cookies
、
jwt
、
csrf
、
openid-connect
我已经阅读了很多和IIUC,支持攻击的核心是基于cookie的服务器会话标识。 因此,换句话说,如果浏览器(我在这里特别将范围缩小到web浏览器)没有使用基于cookie的会话密钥来标识服务器上的会话,那么CSRF攻击就不会发生。我理解得对吗? 例如,假设有人创建了如下链接: href="http://notsosecurebank.com/transfer.do?acct=AttackerA&amount;=$100">Read more! 在登录到http://notsosecurebank.com时,您会被骗去点击这个链接,但是http://notsose
浏览 0
提问于2017-11-05
得票数 1
回答已采纳
1
回答
使用URI中的OAuth访问代码处理页面重载
google-app-engine
、
http
、
post
、
oauth
、
oauth-2.0
在网页应用的网址中使用OAuth 2授权码时,我遇到了一个问题,比如谷歌的OAuth方法()返回的授权码。 我一直在使用google重定向方法;您可以将用户重定向到Google URL,传入client_id和redirect_uri。用户进行身份验证并将授权码作为 问题是访问代码保留在页面URL中,因此如果用户将URL加入书签或发布,他们将发送无效的授权码。 例如: http://myapp.com/?code=kACASDSDdAS81J5B8M_owCyUNgV46XdZaqBBMh4T8OJFEKPRrgN7gtiFOcMW5Fv3gk 处理这种情况的最好方法是什么?理想情况下,我希望
浏览 4
提问于2012-06-19
得票数 0
回答已采纳
1
回答
需要帮助从AWS Cognito提供的URL访问代码
amazon-web-services
、
amazon-cognito
这是我在AWS上的第一个项目,如果有人能帮助我完成AWS的认知和google认证,我将不胜感激。我试图使用谷歌电子邮件对用户进行身份验证。一旦用户使用web浏览器登录,我就会收到附加到重定向URI的访问令牌,如下所示。我正计划检索访问代码,然后通过AWS Lambda从AWS Cognito请求一个访问令牌,以允许用户在AWS中进行各种API调用。 我很难从URL中提取访问令牌。 重定向网址: 用户通过google:认证后的URL 我已经尝试过的事情: 尝试从AWS网关中的URL查询参数访问代码,但由于URL包含磅号,所以我无法将其解析或访问为AWS中的查询参数。尝试访问lambda函数中的头
浏览 2
提问于2020-11-11
得票数 0
回答已采纳
1
回答
OAuth 2状态令牌及其保护
csrf
、
attack-prevention
、
oauth
我们正在尝试构建一组REST,这些API将通过使用OAuth提供程序生成的附加ID令牌进行身份验证。 我试图了解如何使用在OAuth“授权流”期间与重定向URL一起传入的状态令牌。 在以下情况下,状态令牌如何防止攻击: 假设:后端OAuth客户机(将为REST请求提供服务)有一个用户<->状态令牌的会话映射。 场景: 恶意用户试图使用我们的服务进行身份验证。 我们的服务使用状态令牌向OAuth提供程序生成身份验证URL。状态令牌附加到服务器上的恶意用户。 恶意用户在身份验证URL上进行身份验证,并在访问我们的服务器之前捕获重定向URL请求。 现在假设他设法强迫我们服务的有效用户导航
浏览 0
提问于2019-02-05
得票数 2
1
回答
如何安全地将在浏览器上经过身份验证的电子邮件地址传输到服务器?
oauth-2.0
、
hello.js
我可以使用"hello.js“库在客户端实现oauth2协议,为通过第三方应用程序(Google和Facebook)认证的用户获取电子邮件地址。 当然,通过HTTPS将电子邮件地址发送到服务器是可能的,但是如何防止交换被欺骗呢?也就是说,如何确保服务器从浏览器接收到的电子邮件地址是通过第三方应用程序进行身份验证的地址? 也许电子邮件地址就在发送给"redirect_uri“的消息中的某个位置,它通过服务器传递到客户端,但是如果是的话,我就找不到了。它不在GET或POST参数中。
浏览 1
提问于2015-01-06
得票数 0
回答已采纳
1
回答
,如何从外部身份验证服务器接收JWT令牌。
angular
、
typescript
、
single-sign-on
这就是我的系统认证的想法。当用户试图访问我的系统的仪表板时。我的系统将执行一个来自AuthGuard的AuthGuard方法,以检查用户是否将oauth与他一起带来。 如果用户没有将令牌合并到token === null,我的系统将将用户重定向到外部身份验证服务器(标识服务器)登录页面。一旦用户成功登录到标识服务器,身份服务器将将JWT令牌发送回我的系统。 我的问题是,身份服务器将如何将令牌发送回我的系统,以及我的系统将如何接收它? 对于我在Googled上发现的每一个教程和问题,他们都使用调用API来执行身份验证。它们从不将用户重定向到其他外部标识服务器以执行身份验证。 项目流程与问题
浏览 1
提问于2019-01-05
得票数 1
1
回答
Asp.Net标识登录-超时后进入
asp.net
、
asp.net-mvc
、
asp.net-identity
我在我的Asp.Net MVC项目中使用身份验证。 当用户用户A (其会话超时)向服务器发出请求时,服务器将返回登录页面和一个返回url,即url 用户A所要求的。这样,当用户A重新进行身份验证时,s/他被重定向到该初始请求。 如果不是用户A重新身份验证,而是一些用户B进行身份验证,那么s/他将被定向到用户A的最后一个请求,而不是默认主页。 只有在当前用户与超时用户相同的情况下,才能告诉服务器重定向到返回url?
浏览 4
提问于2015-01-20
得票数 0
4
回答
不使用模板引擎的护照身份验证
angular
、
express
、
oauth
、
passport.js
、
passport-google-oauth
我正在尝试使用使用Google策略的Passport身份验证。我可以通过google认证这个应用程序,但是当它返回到我的快速服务器后,我想把它和配置文件数据一起传递到客户端页面。 这意味着我根本不想使用模板引擎。 因此,一旦我的google回调成功地重定向到这里,我需要用数据重定向到我的客户端 router.route('/google/callback') .get(passport.authenticate('google', { successRedirect: '/users/', failure: '/error
浏览 0
提问于2018-06-16
得票数 1
1
回答
REST身份验证(维护经过身份验证的状态)
api
、
rest
、
oauth
、
openid
、
oauth-2.0
我正在开发REST。目前,我正试图使它的最低安全。我之所以问这个问题,是因为我找到的大多数关于这个问题的帖子都很旧。 为了进行身份验证,我发现了以下方案: 基本认证 AWS认证协议 OpenID OpenID连接 OAuth伪认证 基本身份验证和AWS身份验证维护在第一次身份验证之后进行身份验证的请求,因为它们总是发送签名的请求。 我不明白OpenID和OAuth身份验证是如何维护(第二)请求的?是否需要根据每个请求使用OAuth/OpenID服务器检查访问令牌?这如何保护REST不接收已更改的请求? 任何其他的计划,你推荐,建议或阅读材料有关的主题,永远欢迎。
浏览 3
提问于2013-02-12
得票数 2
回答已采纳
1
回答
如何从IdentityServer3请求JavaScript客户端访问令牌?
javascript
、
authentication
、
identityserver3
、
openid-connect
我有一个基于IdentityServer3的身份验证服务和一个WebAPI Shopper服务,该服务使用IdentityServer承载令牌身份验证进行保护。我构建了一个简单的MVC客户端应用程序,它可以作为带有访问令牌的客户端应用程序访问Shopper服务,也可以代表身份认证用户访问Shopper服务。Shopper服务将向经过身份验证的用户返回更多数据。现在,我正在尝试构建一个JavaScript客户端,它可以对Shopper服务进行相同的两层访问。到目前为止,按照一些IdentityServer3 JavaScript客户机示例,我已经让JS客户机成功地代表经过身份验证的用户调用了Sh
浏览 2
提问于2017-03-28
得票数 0
回答已采纳
1
回答
带有标识服务器4的Asp.net核心
asp.net-core
、
identityserver4
我有两个网站正在使用身份服务器认证(这是第三个网站) 如果我从身份服务器网站登录(我正在使用快速启动),如何强制其他两个网站验证用户是否还在登录,并且在每次往返服务器时(回发)。
浏览 0
提问于2019-02-08
得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
微服务安全架构-OAuth2
OAuth 2.0 与 OIDC
无密码验证:客户端
OAuth 2.0 理解
IdentityServer4 知多少
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券