腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
3
回答
基于
javascript
安全
的
授权
令牌
载体
javascript
、
jwt
我对通过
令牌
进行身份验证有点困惑。如果我需要从web应用程序调用经过身份验证
的
web api,我需要将
令牌
添加到所有对api
的
调用中:但在这种情况下,可以很容易地复制
令牌
并使用它进行经过身份验证
的
调用。例如:如果我有一个.netcore apis后端和使用apis来呈现信息
的
web应用程序,则必须在
javascript
调用中添加
令牌
...还是不想? 我哪里错了?谢谢!如果您觉得这个问题很琐碎或者很愚蠢,我很抱歉,但我真的无法想象如何在
浏览 21
提问于2021-09-20
得票数 0
1
回答
对于OAuth客户端,如果client_secret被暴露,会发生什么不好
的
事情?
oauth
、
oauth-2.0
如果一个邪恶
的
用户发现了client_secret,会造成什么危害呢?
浏览 0
提问于2019-02-28
得票数 1
1
回答
用OAuth 2.0
授权
代码流识别浏览器(用户代理)会话
rest
、
session
、
cookies
、
oauth-2.0
在OAuth 2.0
授权
代码流中,协调浏览器/用户代理会话与客户端
的
标准最佳实践方法是什么? 在Web2.0
授权
代码流中,客户端(您正在使用
的
OAuth应用程序)直接从
授权
服务器获取访问
令牌
。访问
令牌
从不向浏览器/用户代理公开,这是代码流
的
重要优点之一。客户端
安全
保留访问
令牌
(如果提供了刷新
令牌
),这样它就可以在用户(通过浏览器/用户代理)
的
后续请求中
浏览 0
提问于2014-11-07
得票数 1
回答已采纳
2
回答
如何在web应用程序中保护不记名
令牌
rest
、
oauth-2.0
我正在尝试为一个
基于
JavaScript
2.0
的
应用程序实现 (
JavaScript
2.0)中描述
的
授权
代码流。我知道我应该使用web服务器后端作为机密客户端,以便它可以保护
授权
服务器返回
的
访问
令牌
和刷新
令牌
,而不是将它们传递给
JavaScript
前端。然后,从前端到任何受保护资源
的
所有请求都通过web服务器后端,该后端将访问
令牌
附加到请求并将其代理。 我
浏览 0
提问于2017-08-11
得票数 1
2
回答
如何结合
基于
会话
的
身份验证和无状态REST
rest
、
api
、
authentication
、
session
、
oauth2
将
基于
会话
的
身份验证与REST
的
无状态、
基于
令牌
的
身份验证相结合
的
正确方法是什么?用户以标准
的
、传统
的
、
基于
会话
的
方式登录.大多数网站使用这个登录流。在其中一个页面上,
JavaScript
脚本希望代表用户从RESTful无状态API请求一些数据。我预计,在页面加载时,
JavaScript
脚本将需要在页面中得到一些信息(例如,元标记),以便能够使用API进
浏览 0
提问于2019-11-04
得票数 3
回答已采纳
1
回答
将客户端秘密传递给Github中
的
用户
github-api
关于密钥/秘密
的
OAuth2状态: 这只应在服务器到服务器场景中使用。不要将OAuth应用程序
的
客户端机密泄露给用户。我想了解这会带来什么样
的
安全
风险,因为我见过一些web应用程序使用前端脚本查询API,并传递客户端id和客户端机密以利用额外
的
速率限制。
浏览 2
提问于2016-09-06
得票数 1
2
回答
Javascript
中
的
授权
承载
令牌
头
javascript
、
api
、
proxy
、
authorization
、
bearer-token
我正在尝试为我从API端生成
的
授权
承载
令牌
创建一个头。我使用CORS-anywhere调用API并通过JSON获取数据。我想知道,
授权
载体
令牌
头
的
正确格式是什么?
浏览 9
提问于2020-10-02
得票数 1
1
回答
为什么我们在
授权
头中在
令牌
前面写Bearer呢?
node.js
、
express
、
jwt
例如,当我有一个post方法-登录时,我会得到签名
的
JSON
令牌
。我在youtube上看了一些教程,当他们检查用户是否被
授权
时,他们会在
授权
头中发送JWT,比如: 我
的
问题是:如果我们只在
授权
头中发送
令牌
,而没有在
令牌
前面发送"Bearer“,那么为什么要这样做呢
浏览 3
提问于2020-05-28
得票数 1
回答已采纳
1
回答
IdentityServer3 - OAuth流,不同
的
方法
javascript
、
api
、
backbone.js
、
oauth
、
identityserver3
我已经构建了一个基本上是REST
的
应用程序。我想让其他开发人员有机会代表用户调用这些API。我决定继续进行OAuth身份验证,将我
的
身份验证服务建立在IdentityServer3上。现在,我已经成功地使用
授权
流为第三方客户端生成了访问
令牌
。 无法说服我
的
是如何处理SPA,而SPA目前只使用
基于
cookie
的
身份验证(+反伪造
令牌
)调用我
的
Web。本应用程序在
Javascript
中编写,
基于
主干。实
浏览 2
提问于2016-04-22
得票数 0
回答已采纳
1
回答
不记名
令牌
过滤器是否应避免OPTIONS请求?
jakarta-ee
、
oauth-2.0
、
jax-rs
我使用筛选器来检查
授权
载体
令牌
是否有效。尽管如此,我还是纠结于这样一个事实:用户代理(firefox、chrome……)正在尝试在发出“真正”请求之前请求CORS OPTIONS请求。所以,我
的
过滤器拦截了这个OPTIONS请求,它没有任何
授权
载体
令牌
,所以它用一个4xx http代码进行响应。 我应该避免OPTIONS请求吗?这是正确
的
吗?
浏览 0
提问于2017-08-29
得票数 0
1
回答
JWT -非对称加密
jwt
、
encryption-asymmetric
我有三个服务器:-
授权
服务器- api服务器-前端服务器 从Fronted Server登录后,
授权
服务器获取用户凭据,然后生成JWT
令牌
并使用公钥对其进行编码。Fronted Server接收加密
的
JWT
令牌
,客户端(web浏览器)
浏览 0
提问于2020-02-18
得票数 1
1
回答
如何从okta access token或id token获取用户信息?
java
、
spring-boot
、
authorization
、
okta
我们有一个api网关,它使用okta请求用户身份验证,然后将请求重定向到特定
的
服务,并向其发送
授权
承载
令牌
。这里我
的
问题是,如何从我们在服务中获得
的
授权
载体
令牌
中,使用java spring boot获取用户信息?
浏览 5
提问于2021-09-19
得票数 0
2
回答
OAuth2:使用PKCE代替client_secret
oauth-2.0
、
pkce
我有一个web应用程序,它使用OAuth2
的
进行身份验证。 我希望能够使用刷新
令牌
长时间保持我
的
会话活动。但是由于我不能在web应用中
安全
地存储client_secret,所以我不能使用传统
的
。使用代替client_secret是否
安全
,或者这样做会不会失去某种级别的
安全
性?
浏览 0
提问于2017-08-29
得票数 2
1
回答
在elsa工作流中添加对http端点
的
授权
elsa-workflows
我试着使用
令牌
载体
,仍然可以在没有token.Is
的
情况下工作,有任何方法可以在elsa工作流中实现
授权
。
浏览 4
提问于2021-11-23
得票数 1
1
回答
如何接收dropbox
授权
码?
javascript
、
authentication
、
oauth-2.0
、
dropbox-api
我一直在尝试从Dropbox获取客户端
授权
令牌
,我遵循了和
的
说明,但仍然没有获得
授权
。正如在上面提供
的
链接中所述,我假设向一个端点发出一个请求,如下所示:https//www.dropbox.com/oauth2/authorize?response_type=...,我这样做了,但是仍然没有用
授权
代码(
基于
选择
的
授权
流)重定向回来,然后使用这个交换一个
载体
访问
令牌</
浏览 20
提问于2020-06-08
得票数 2
1
回答
利用OAuth2承载
令牌
保护图像资源
rest
、
oauth-2.0
为了保持一致性,我还想使用OAuth2/Bearer
令牌
来保护服务,但这样做会使希望使用标记显示图像数据
的
基于
浏览器
的
应用程序更难以使用该服务,因为标记将不会发送必要
的
Authorization: Bearer我可以看到两种解决办法:
基于
浏览器
的
服务客户端将使用XHR Level2和来自HTML5
的
Blob和Blob方案作为Blob检索图像数据,使用Blob方案为Blob生成一个URl,然后动态创建引用修改OAuth2基础结构,以生成除
浏览 1
提问于2012-12-05
得票数 22
回答已采纳
1
回答
@FrameworkEndpoint到oAuth 2.0 revokeToken
spring-security
、
oauth-2.0
我有一个
基于
@FrameworkEndpoint
的
控制器来实现
令牌
的
删除,如下所示public class RevokeTokenEndpoint {tokenServices.revokeToken(tokenId); } 我
的
请求是DELETE (
授权
载体
为ce8b9
浏览 1
提问于2018-05-30
得票数 0
1
回答
OpenID隐式流与标准流
的
示例用例是什么?
authentication
、
single-sign-on
、
openid
、
keycloak
的
比较
浏览 2
提问于2016-03-31
得票数 2
1
回答
SignalR提供
授权
令牌
signalr
、
signalr-hub
我很难决定如何最好地为我
的
SignalR服务添加身份验证和
授权
。 目前,它与WebApi2 web服务一起托管在Owin中。我使用OAuth2承载
令牌
对这些
令牌
进行身份验证,它工作得非常完美。我
的
客户是
基于
JavaScript
的
,如果可用的话,SignalR使用WebSockets。这意味着我不能使用
授权
头。我发现在连接之前,我可以使用qs属性提供
令牌
。但是,当然,OAuth2访问
令牌
将过期(而且在
浏览 4
提问于2014-02-17
得票数 8
1
回答
默认访问
令牌
和json web
令牌
的
区别是什么?
asp.net
、
oauth-2.0
、
asp.net-identity
我正在构建一个网站,我使用asp.net web 2与身份框架和Oauth进行
授权
。我想知道默认web
令牌
和json web
令牌
(JWT)之间
的
区别,在哪种情况下我们使用每一种?
浏览 1
提问于2017-02-28
得票数 0
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
黑客利用遭攻陷的 JavaScript 包盗取 npm 凭证
拿钱要办事,Waves Labs公布第一批被资助项目名单
OAuth 2.0与OpenID Connect协议的完整指南
微服务架构之:访问安全
OAuth 2.0 与 OIDC
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券