腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9408)
视频
沙龙
1
回答
在
用户
密码
更
改时
使
IdentityServer
会话
和
访问
令牌
无效
、
、
、
用户
使用授权码流登录,并从
IdentityServer
(idsrv)获取cookie。然后,他们获得API (RP)的授权码
和
访问
令牌
。我希望能够
在
某些情况下撤销
用户
现有的登录
会话
和
访问
令牌
,例如,如果他们的
密码
已被重置。
IdentityServer
会话
无效
。我检查
密码
自那以来是否未更改过 我想对他们使用的<
浏览 21
提问于2019-05-30
得票数 1
1
回答
允许每个
用户
使用单个
会话
IdentityServer
4
使用
IdentityServer
4时,我每次需要允许一个
用户
会话
。如果
用户
先使用设备A进行身份验证,然后使用B进行身份验证,则必须
使
A的
会话
和
访问
令牌
无效
,更好的是,客户端A可以接收到
用户
已在第二个step.The中注销的通知。
IdentityServer
sessionID。然后,我应该向所有客户端发送注销
令牌
。告诉我们使用ITicketStore实现来使<em
浏览 12
提问于2021-06-17
得票数 0
2
回答
当
用户
在
Oauth2中更改
用户
名时,应该发生什么?
、
、
、
对于Oauth2来说非常陌生,我想知道在
用户
更改用于授权客户端的
用户
名的场景中应该发生什么。
访问
令牌
将由身份验证服务器使用新的
用户
名更新?
浏览 6
提问于2015-11-29
得票数 1
回答已采纳
1
回答
在
.NET Core3.1中如何防止中间人攻击和
会话
劫持攻击
、
、
、
我使用
IdentityServer
4(OIDCCore3.1)进行身份验证(.NET协议)。但是过期
会话
的过去
会话
id可以用来
在
应用程序中获得身份验证,因此我的应用程序容易受到
会话
重放/
会话
Hjijacking/中间人攻击。 请分享一些此漏洞的解决方案。
浏览 28
提问于2021-09-06
得票数 0
3
回答
在
java中重置/更改
密码
时,如何
使
先前生成的JWT
令牌
无效
、
我已经创建了AccessToken (JWT
令牌
),我想在重置
密码
/更改
密码
时
使
该
令牌
无效
(即:旧的accessToken应该是
无效
的,新的应该是有效的)
浏览 121
提问于2018-06-06
得票数 3
6
回答
Facebook
访问
令牌
因未知原因过期
、
的问题是什么:这个标记工作了一段时间--有时我可以
在
几天内将数百张照片上传到我的粉丝页面;有时它实际上是很少的照片--然后我开始得到其中的任何一张 (OAuthException)错误
使
访问
令牌
无效
:
会话
与当前存储的
会话
不匹配。这可能是因为
用户
在
创建
会话
时更改了
密码
,或
浏览 9
提问于2012-05-07
得票数 8
2
回答
将
密码
哈希存储
在
会话
中。好主意?
、
、
、
总结问题想法 假设有恶意攻击,攻击者可以驱逐合法
用户</e
浏览 0
提问于2015-05-28
得票数 0
回答已采纳
1
回答
Apache如何在使用rememberMe active重置
密码
后强制所有设备注销
、
我使用apache
和
rememberMe active。rememberMe
令牌
保存在cookie中。我希望强制所有使用相同
用户
名登录的设备
在
密码
重置后退出。我设法
使
同一
用户
的所有
会话
无效
,但是保存在每个设备中的rememberMe
令牌
总是创建一个新的有效
会话
。因此,其他设备仍然可以
访问
受限数据。这就是我如何
使
会话
无效
的方法:
浏览 15
提问于2022-10-24
得票数 0
1
回答
如何在C# AspNetCore网站中使用JSON
令牌
?
、
、
、
它可以使用
用户
名/
密码
,验证并发出
访问
令牌
和
刷新
令牌
。太棒了。
访问
令牌
是短暂的,不安全的,并打算定期刷新.其目的是将其存储
在
客户端,无论是应用程序还是网页。刷新
令牌
的寿命更长,并且打算安全地存储。必须对
用户
进行身份验证才能
访问
它们,在这里,身份验证意味着具有有效的
访问
令牌
。 当
用户
最初
访问
一个操作
浏览 1
提问于2017-08-02
得票数 3
1
回答
IdentityServer
4撤销客户端的所有引用
令牌
,当前除外
、
我有一个页面应用程序,它由
IdentityServer
4引用
令牌
保护。
在
应用程序的设置区域,
用户
可以更改他们的
密码
。为此,必须输入当前
密码
和
新
密码
。我也希望
用户
可以选择“注销所有其他设备
和
计算机”。 如果
用户
选中此选项,我希望
使
该客户端
和
该
用户
存在的任何其他引用
令牌</em
浏览 7
提问于2021-04-01
得票数 2
回答已采纳
2
回答
当从SPA验证Google
令牌
时,从access_token获得一个新的
IdentityServer
4
、
、
、
收到"tokenObj“的回复,其中包含、IdToken、
和
其他内容
在
成功的IdToken验证中,使用ASP.NET标识UserManager方法创建/获取
用
浏览 16
提问于2020-08-10
得票数 0
回答已采纳
4
回答
密码
更改后的
会话
重新生成?
、
、
因此,我理解在身份验证等状态更改后重新生成
会话
ID的目的,即防止
会话
固定。我不清楚的是,为什么
在
密码
更改(根据OWASP的建议)之后这是必要的。如果攻击者劫持了受害者的
会话
cookie,是的,是的,sessionID会将攻击者踢出,但为什么要在更改
密码
时专门这样做呢?是否因为有一个假设,如果
用户
正在更改他们的
密码
,他们可能怀疑他们的帐户已经被破坏?否则,
密码
更改似乎是重新生成sessionID的任意时间。 如果攻击者窃取了受害者的<e
浏览 0
提问于2022-12-02
得票数 3
1
回答
使用
用户
名/
密码
通过Javascript直接从
IdentityServer
3请求
令牌
、
、
、
单页应用程序(SPA)仅用HTML
和
Javascript编写,试图
访问
受保护的API端点(本例中为ASP.NET Web v2 )。返回HTTP 401,因为API端点受到保护 SPA再次尝试
访问
API端点,
浏览 3
提问于2016-07-14
得票数 0
回答已采纳
1
回答
IdentityServer
4外部身份验证
令牌
、
、
我设置了一个使用谷歌进行身份验证的
IdentityServer
4,它工作得很好,包括
在
AspNetUserTokens中存储
令牌
。另外,我有一个单独的服务,需要能够使用
访问
和
刷新
令牌
来代表
用户
调用google的API,当他们没有登录时。我不明白如何从
identityserver
请求
令牌
,并
使
它们保持最新(交换
访问
令牌
和
到期日期)。我可以直接这样做,方法是向
浏览 8
提问于2018-02-09
得票数 2
1
回答
为客户端获取身份
令牌
要调用另一个身份验证服务(即AWS STS),我需要设置ID服务器的联合并使用身份
令牌
。下面的代码给出了
访问
令牌
,但是标识
令牌
为空。
浏览 0
提问于2018-08-25
得票数 0
回答已采纳
3
回答
为什么为每个API请求传递
令牌
比为每个API请求传递
用户
名
和
机密
更
安全?
、
我想这也可以用JWT
和
Basic Auth来表达,类似的想法?为每个API请求传递一个
令牌
似乎是比较常见
和
推荐的方法,我有一种直觉,认为它只是“感觉更好、
更
安全”,但我不知道为什么
和
如何清楚地传达它。
浏览 0
提问于2019-05-10
得票数 0
1
回答
我应该在API上刷新
访问
令牌
吗?
、
、
在
特定授权
用户
更改
密码
或电子邮件的情况下。由于电子邮件或
密码
是
用户
身份验证的一部分,我认为有必要撤销所有的
令牌
。 在
用户
更改
密码
或电子邮件的情况下,刷新
令牌
的最佳实践是什么?这样做的目的是
在
客户端存储一个额外的刷新
令牌
,每当邮件或
密码
更
改时
,我们都会撤销他的
访问
令牌
。在此之后,
用户
可以使用刷新
令牌</e
浏览 0
提问于2018-11-16
得票数 2
2
回答
IdentityServer
SSO -可信应用程序
、
、
我需要从我的应用程序(使用ASPNET
会话
状态的身份提供者)来的
用户
SSO (单点登录),并将它们重定向到配置为使用
IdentityServer
4隐式流的mine (服务提供者)的另一个应用程序。我需要做到这一点,而不需要
用户
重新登录
和
不提供
用户
的
密码
。我最初的想法是,我可以使用身份提供者的客户端秘密,以
访问
令牌
作为查询参数,将
用户
重定向到
IdentityServer
4身份验证端点,然后使用自定义验
浏览 4
提问于2017-07-16
得票数 2
回答已采纳
1
回答
混合移动应用:将敏感数据存储
在
客户端
、
、
- plugins----- www--------- img--------- res
在
我的
在
我的应用程序中,我需要尽可能安全地存储SERVER_URL、
用户
名
和
密码
。将这些敏感数据存储到web应用程序项目中的最佳方式是什么?
浏览 0
提问于2016-12-11
得票数 0
1
回答
我应该刷新
访问
令牌
吗?
在
特定授权
用户
更改
密码
或电子邮件的情况下。由于电子邮件或
密码
是
用户
身份验证的一部分,因此我认为有必要撤消所有auth
令牌
。 但是,在这种情况下,如何进行更新
令牌
的最佳实践呢?
浏览 0
提问于2018-11-16
得票数 1
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
IdentityServer4 知多少
架构必备“RESTful API”设计技巧经验总结
单点登录原理与简单实现
技术干货 架构师系列之单点登录原理与简单实现
【安全圈】TikTok已修复Android版应用中可能会导致账号被劫持的安全漏洞
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券