腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
在
使用
PKCE
时
是否
需要
使用
引用
令牌
?
asp.net-core
、
security
、
token
、
identityserver4
、
pkce
目前,我们
使用
代码流(
PKCE
),同时
引用
令牌
,利用IdentityServer4提供的
令牌
内省端点。 同时
使用
PKCE
和
引用
令牌
是不是有点过分了?从API中请求始终调用IdentityServer4的
令牌
自检端点会向接收到的每个资源请求添加另一个请求。我们想知道
使用
引用
令牌
是否
比仅
使用
具有普通访问
令牌
的<em
浏览 23
提问于2020-09-28
得票数 1
回答已采纳
1
回答
为什么授权代码流
需要
授权代码?
authentication
、
oauth
、
oauth2
我已经
在
我的服务器上用
PKCE
实现了Auth代码流,但我仍然不完全清楚为什么要这么做。我已经阅读了IETF的文档,我看到了一些看似理解的东西,但它似乎总是
在
褪色。
浏览 0
提问于2020-04-28
得票数 0
1
回答
通过扩增将代码挑战传递给认知联邦标识[Okta]
amazon-cognito
、
aws-amplify
、
okta
、
federated-identity
、
pkce
该流程与授权代码流工作良好,无需
PKCE
(
使用
带有角的放大)。 但是
在
重定向到okta之后,它就会抛出这个错误。当
令牌
端点身份验证方法为“none”
时
,
需要
pkce
代码挑战
是否
有任何额外的配置
需要
在科尼托传递代码挑战
浏览 3
提问于2020-01-31
得票数 2
回答已采纳
1
回答
我应该
使用
哪种授权类型的Identityserver4和Xamarin手机?
xamarin
、
identityserver4
我想在我的Xamarin应用程序中
使用
identityserver4用户验证。但我无法决定将哪种授予类型用于本机应用程序。authorzation_code 访问
令牌
有过期日期。我怎样才能买到新的
令牌
?我应该在移动应用程序中
使用
用户名和密码吗?
浏览 3
提问于2019-04-13
得票数 0
1
回答
OAuth2:如果回调位于后端,
是否
需要
PKCE
?
authentication
、
oauth-2.0
、
oauth
、
pkce
来源:这种情况
是否
需要
PKCE
?我认为这里没有必要,因为客户端的秘密
在
Django服务器中是安全的,我只是想确认一下,因为我是这个领域的新手。编辑: 如果
需要
PKCE
,我们如何在客户端和服务器之间共享代码验证器?
浏览 5
提问于2022-11-25
得票数 2
1
回答
使用
.Net 5 WebAPI的Vue SPA的正确OIDC流程是什么?
.net-core
、
oauth-2.0
、
asp.net-core-webapi
、
single-page-application
、
openid-connect
我读到了很多关于OIDC流程的资料,并且
使用
PKCE
的授权代码流程是适合SPA的流程,但是如果我有一个.Net 5 WebAPI后端呢?
是否
可以
在
没有
PKCE
的情况下对该组合
使用
授权代码流?如果我
在
PKCE
中
使用
认证码流,什么认证对我的WebAPI是正确的?JWT
令牌
? 非常感谢
浏览 25
提问于2021-10-16
得票数 0
1
回答
AD B2C中SPA应用程序中刷新
令牌
的过期
azure
、
oauth-2.0
、
azure-active-directory
、
azure-ad-b2c
在
使用
授权代码流的单页应用程序之后,
PKCE
始终具有24小
时
的刷新
令牌
生存期。我也有同样的场景,但我想知道
是否
可以将刷新
令牌
的过期时间设置为缩短24小
时
的时间、或事件,而强制用户
在
每次访问
令牌
过期
时
输入登录和密码?
浏览 1
提问于2021-03-05
得票数 0
1
回答
为本地应用程序注入拨款
oauth
、
oauth-2.0
、
native
、
pkce
规范说, 为什么我们不应该
使用
隐式赠款类型的原因让我感到困惑。据我所知,授权代码授予
需要
PKCE
,因为它
需要
两个单独的调用才能获得访问
令牌
,并且我们
需要
确保这两个请求都由同一个应用程序完成。如果我错了,请纠正我。现在,由于隐式授予类型不
需要
这样的2个调用来获得
令牌
,所以我认为我们并不真正
需要
<em
浏览 0
提问于2019-03-23
得票数 0
回答已采纳
1
回答
OAuth2:如果回调位于后端,
是否
需要
PKCE
?
authentication
、
oauth
、
oauth2
、
rfc
questions/73075156/what-exactly-is-redirect-uri-in-google-oauth2-request-for-getting-authorization 我
使用
后端与授权代码交换
令牌
,然后通过set-cookie头将
令牌
发送回前端。这种情况
是否
需要
PKCE
?我认为这里没有必要,因为客户端的秘密
在
Django服务器中是安全的,我只是想确认一下,因为我是这个领域的新手。另外,我将在前端加密状态参数,并可能<em
浏览 0
提问于2022-11-25
得票数 0
回答已采纳
3
回答
将Google OIDC与代码流和
PKCE
结合
使用
oauth-2.0
、
single-page-application
、
openid-connect
、
google-identity
、
pkce
经过反复试验,在我看来,Google OIDC
在
没有提供客户端密钥的情况下不支持代码流: 根据SPA的最新最佳实践(),代码流+
PKCE
是处理身份验证的推荐方法。有没有人知道让谷歌的代码流接受code_challenge而不是client_secret所
需要
的技巧?也许是一个虚拟的秘密?
浏览 17
提问于2020-03-17
得票数 12
1
回答
理解
PKCE
与授权代码授予的好处
security
、
oauth-2.0
、
oauth
、
token
、
pkce
黑客是两者都
需要
,还是只能
使用
授权代码进行攻击?映像的第五步
是否
需要
客户端的机密和授权代码?
PKCE
流
浏览 2
提问于2022-01-19
得票数 3
回答已采纳
2
回答
带angular-oauth2-oidc的Angular中
PKCE
授权码流
angular
、
oauth-2.0
、
pkce
、
angular-oauth2-oidc
、
authenticationchallenge
我想在我的Angular SPA中
使用
PKCE
的代码流,为了方便起见,我
使用
了这个库:angular-oauth2-oidc 如果您单击该链接,它会显示您将在此配置中
使用
PKCE
的代码流: let authConfigscope: 'openid', showDebugInformation: true, }; 当用户单击登录
时
,我
使用
以下命令初始化流程:
浏览 67
提问于2021-02-08
得票数 0
回答已采纳
1
回答
IdentityServer4
使用
Client_Credentials
引用
令牌
获取索赔
c#
、
.net-core
、
identityserver4
我有一个身份服务器实现,它非常适合jwt
令牌
和两个访问它的不同客户端。Mr控制台
使用
client_credentials进行身份验证 在这两种情况下,当
使用
jwt
令牌
时
,我只能得到一个问题的声明。
令牌
的大小正在失控,我们希望
使用
引用
令牌
来代替。我将
令牌
类型从Jwt更改为Reference,现在可以通过调用用户信息端点和传递
引用<
浏览 4
提问于2021-09-16
得票数 0
1
回答
使用
PKCE
的OAuth2.0授权代码授权流真的安全吗?
authentication
、
oauth
、
oauth2
说
PKCE
还不够,您仍然
需要
客户端身份验证。我所理解的记住:我不能依靠SOP或CORS来阻止,你知道像邮递员这样的客户可以跨越问题 如果有人
使用
SPA认证并通过打开web开发工具从请求中获得code_verifier (随机字符串)、code_challenge (
使用
sha-256的哈希代码验证器)和授权代码(或者仅仅是
在</em
浏览 0
提问于2021-09-14
得票数 3
3
回答
如何
使用
PKCE
的授权代码流比没有client_secret的授权代码流更安全
oauth-2.0
、
authorization
、
openid
、
auth0
、
pkce
很可能我误解了这个主题,或者
在
实现过程中遗漏了一些东西。我浏览了Auth0的文档,以便通过端点而不是SDK
使用
PKCE
创建授权代码流,我看到了如下所示的挑战和眩晕(来自auth0文档): scope=SCOPE& state=STATE 并将代码和眩晕器传递到
令牌
端点我认为我们
浏览 0
提问于2021-02-04
得票数 2
回答已采纳
1
回答
React和REST的PCKE实现
reactjs
、
authentication
、
jwt
、
pkce
我
需要
实现一个系统,其中的前端是
使用
react生成的纯SPA (我的意思是它只是作为一堆静态文件托管)和一个用express生成的nodejs。我不能
使用
任何第三方认证提供者,如Auth0等,所以一切都必须在本地工作。 该应用程序必须有认证,它必须或多或少地达到现代标准。我希望用短命的JWT
令牌
和长寿命的刷新
令牌
来实现
PKCE
流。关于
PKCE
流的每个指南都提到
在
auth流中从一个URL重定向到另一个URL。然而,
在
我的设置中,重定向是
浏览 6
提问于2021-12-30
得票数 0
回答已采纳
1
回答
在
(Android/iOS) OAuth混合应用程序的情况下,我
使用
哪个WebView流以及在哪里存储
令牌
?
javascript
、
webview
、
oauth
、
oauth-2.0
据我所知,当前的最佳实践是
在
公共客户端中
使用
PKCE
: 注意:以前,建议基于浏览器的应用程序
使用
“隐式”流,该流立即返回访问
令牌
,并且没有
令牌
交换步骤。自规范最初编写以来,行业最佳实践已经更改为建议
使用
授权代码流而不
使用
客户端机密。这为创建安全流提供了更多的机会,例如
使用
PKCE
扩展。但我对安卓/iOS WebView
是否
是公共客户端感到困惑。
需要
澄清的是:这是一个混合
浏览 0
提问于2019-06-19
得票数 0
1
回答
移动应用如何
使用
PKCE
实现授权代码流?
authentication
、
mobile
、
oauth
、
oauth2
、
openid-connect
我希望它能够支持OAuth2 + OpenID连接的授权代码流,这样用户的凭证就不会存储
在
设备上,而是一个访问
令牌
。
令牌
授予对一个API的访问权,该API用于实现整个移动应用程序功能,这意味着移动应用程序只是一个前端接口/UI。 我的移动应用程序被认为是“客户应用程序”,还是“资源所有者”?如果它被认为是资源所有者,那么这
是否
意味着我必须推出一个完整的专用后端,独立于我的API,独立于我的授权服务器,并且只针对移动应用程序(它将是“客户机应用程序”)?
浏览 0
提问于2019-12-11
得票数 4
回答已采纳
1
回答
作为授权码授予的一部分,OAuth客户端
是否
需要
验证
令牌
?
oauth-2.0
、
openid-connect
使用
授权码(带或不带
PKCE
)代表用户获取访问+ id
令牌
的应用程序
是否
也
需要
验证这些
令牌
(签名、未过期、受众等)? 如果是这样,那是为了什么?由于客户端正在
使用
TLS并指向配置它的提供者,那么该客户端还验证
令牌
减轻了哪些攻击/威胁?
浏览 20
提问于2020-07-16
得票数 0
2
回答
在
非OAuth cookie中存储HttpOnly访问和刷新
令牌
cookies
、
oauth2
我
使用
OAuth auth代码流生成访问和刷新
令牌
,然后将它们存储
在
两个不是HttpOnly的浏览器cookie中,并将它们也发送回客户机。cookies必须是非HttpOnly,因为客户端
需要
知道访问
令牌
是否
存在,以了解
是否
应该与授权服务器对话,并执行刷新
令牌
流以获得新
令牌
。另外,您认为
PKCE
可以以任何
浏览 0
提问于2018-09-13
得票数 1
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
如何计算爬虫业务在使用代理http服务时需要多个IP地址?
OAuth 2.0 与 OIDC
在使用微信时,好友发来的语音,你需要转发吗?那么,该怎样才能转发给其他的朋友呢?
一文看懂OAuth 2.0 (附实践案例)
SpringBoot 对接外部接口,一步一步性能调实战篇
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券