开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何使用用户委托给应用程序的`offline_access`权限？

基础概念

offline_access权限是OAuth 2.0授权框架中的一个范围（scope），它允许应用程序在用户不在线的情况下访问用户的资源。这意味着，即使用户没有打开应用程序或设备处于离线状态，应用程序仍然可以访问用户的某些数据。

相关优势

持续访问：应用程序可以在用户不在线时继续访问其数据，提供无缝的用户体验。
减少用户交互：用户不需要频繁登录或授权，减少了用户的操作步骤。
提高效率：应用程序可以在后台处理数据，提高整体效率。

类型

offline_access权限通常与其他OAuth 2.0范围一起使用，例如：

openid：用于标识用户身份。
profile：用于访问用户的个人资料信息。
email：用于访问用户的电子邮件地址。

应用场景

移动应用：在用户不在线时，移动应用可以继续同步数据或执行后台任务。
Web应用：在用户关闭浏览器后，Web应用可以继续处理用户的请求。
后台服务：服务器端应用程序可以在用户不在线时处理数据，例如发送通知或更新用户状态。

实现步骤

以下是一个使用offline_access权限的示例流程：

获取授权码：用户访问应用程序并授权offline_access权限。应用程序将重定向到授权服务器，获取授权码。
获取授权码：用户访问应用程序并授权offline_access权限。应用程序将重定向到授权服务器，获取授权码。
交换访问令牌：应用程序使用授权码向授权服务器请求访问令牌和刷新令牌。
交换访问令牌：应用程序使用授权码向授权服务器请求访问令牌和刷新令牌。
使用访问令牌：应用程序使用访问令牌访问用户的资源。
使用访问令牌：应用程序使用访问令牌访问用户的资源。
刷新访问令牌：当访问令牌过期时，应用程序使用刷新令牌获取新的访问令牌。
刷新访问令牌：当访问令牌过期时，应用程序使用刷新令牌获取新的访问令牌。

常见问题及解决方法

权限未授权：
- 原因：用户未授权offline_access权限。
- 解决方法：确保在授权请求中包含offline_access范围，并引导用户授权。

刷新令牌失效：
- 原因：刷新令牌可能因为某些原因失效，例如用户撤销权限或刷新令牌过期。
- 解决方法：处理刷新令牌失效的情况，例如重新获取授权码并交换新的访问令牌和刷新令牌。
访问令牌过期：
- 原因：访问令牌有有效期，过期后需要刷新。
- 解决方法：使用刷新令牌获取新的访问令牌，并继续访问资源。

参考链接

通过以上步骤和示例，你应该能够成功使用offline_access权限来访问用户的资源。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

IdentityServer（11）- 使用Hybrid Flow并添加API访问控制

关于Hybrid Flow 和 implicit flow 我在前一篇文章使用OpenID Connect添加用户认证中提到了implicit flow，那么它们是什么呢，它和Hybrid Flow有什么不同呢，这里简单讲一下。 Hybrid Flow 和 implicit flow是OIDC（OpenID Connect）协议中的术语，Implicit Flow是指使用OAuth2的Implicit流程获取Id Token和Access Token；Hybrid Flow是指混合Authorization

04

Cloudflare Workers部署Onedrive直链程序并实现反代下载

OneDrive Index，是一款可以直接部署在Cloudflare Workers，不需要服务器就可以运行的直链程序。最近的更新中支持了由Cloudflare反代下载OneDrive文件，大大缓解了国内电信和移动用户的下载缓慢问题。

04

使用dex搭建一个身份认证系统

一个成熟的软件系统一般必须有一个可靠的身份认证与权限验证功能。这一块要自研快速实现还是需要花费挺多精力的，幸好开源领域目前已经有不错的解决方案，一般拿过来按项目的实际需求进行一些简单的定制基本就可以实现业务目标了。最近刚好在这方面进行了一些工作，这里将如何实现身份认证及权限验证分两篇博文大概梳理一下，这篇先讲身份认证。

01

E5 自动订阅程序

登录进入 azure ，登录账号使用你的e5账户，就是以xxx.onmicrosoft.com开头的的账户。搜索“应用注册”

00

如何使用dex搭建一个身份认证系统？

导言一个成熟的软件系统一般必须有一个可靠的身份认证与权限验证功能。这一块要自研快速实现还是需要花费挺多精力的，幸好开源领域目前已经有不错的解决方案，一般拿过来按项目的实际需求进行一些简单的定制基本就可以实现业务目标了。最近刚好在这方面进行了一些工作，这里将如何实现身份认证及权限验证分两篇博文大概梳理一下，这篇先讲身份认证。什么是身份认证身份验证（英语：Authentication）又称“验证”，是指通过一定的手段，完成对用户身份的确认。身份验证的目的是确认当前所声称为某种身份的用户，确实是

03

不要使用Resource Owner Password Credentials

最近公司项目在做一些重构，因为公司多个业务系统各自实现了一套登录逻辑，比较混乱。所以，现在需要做一个统一的鉴权登录中心，准备用IdentityServer4来实现。看到一些文章，觉得可以翻译记录一下。

04

SquarePhish：一款结合了OAuth身份验证流和二维码的高级网络钓鱼测试工具

SquarePhish是一款高级网络钓鱼测试工具，该工具整合了OAuth设备码身份验证流和二维码技术实现其功能。

03

学习Identity Server 4的预备知识

我要使用asp.net core 2.0 web api 搭建一个基础框架并立即应用于一个实际的项目中去. 这里需要使用identity server 4 做单点登陆. 下面就简单学习一下相关的预备知

05

使用基于token的安全体系有什么优点?

我要使用asp.net core 2.0 web api 搭建一个基础框架并立即应用于一个实际的项目中去.

02

ABP微服务系列学习-对接前端界面

前面我们把后端的微服务架子基本搭建完成并成功启动了，现在我们可以对接前端界面了。这里我们直接用ABP模板里面的Angular的前端界面。

03

使用Identity Server 4建立Authorization Server (4)

上一篇讲了使用OpenId Connect进行Authentication. 下面讲 Hybrid Flow和Offline Access 目前我们解决方案里面有三个项目 Authorization Server, Web api和Mvc Client. 在现实世界中, 他们可能都在不同的地方. 现在让我们从MvcClient使用从Authorization Server获取的token来访问web api. 并且确保这个token不过期. 现在我们的mvcClient使用的是implicit flow,

05

修改宝塔面板中OneDrive备份插件支持世纪互联

宝塔最近出了那么多问题，我也在考虑要不要继续用了....所以请不要再吐槽了------"正经人谁用宝塔呀？下贱！" 不过话说回来宝塔的确是方便，这个修改我已经用了小半年了，没啥毛病，看到有人问就分享出来。

01

【OIDC】补充概念

一段加密字符串（可以是 JWT），包含授权范围、有效期等信息。持有它，就可以无差别的访问资源。特殊写法 "Bearer TOKEN字符串"，即在 Token 前面加上单词 Bearer 和空格。

00

博客园api调用实例：获取授权码

博客园 OpenAPI文档 https://api.cnblogs.com/help

02

Exchange漏洞攻略来啦！！

在渗透测试中,当进行信息收集与环境侦察时,发现与识别 Exchange 及其相关服务,可以有多种方法与途径。

02

ASP.NET Core分布式项目实战（业务介绍，架构设计，oAuth2，IdentityServer4）--学习笔记

https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

01

ASP.NET_.NET

我们在《ASP.NET Core项目实战的课程》第一章里面给identity server4做了一个全面的介绍和示例的练习。

03

PwnAuth——一个可以揭露OAuth滥用的利器

鱼叉式网络钓鱼攻击被视为企业最大的网络威胁之一。只需要一名员工输入自己的凭证或运行一些恶意软件，整个企业都会受到威胁。因此，公司投入大量资源来防止凭证收集和有效载荷驱动的社会工程攻击。然而，对于非传统但却同样危险的社会工程——OAuth滥用却没有给予足够重视。在OAuth滥用攻击中，受害者授权第三方应用程序访问其帐户。一旦获得授权，应用程序不需要凭证就可以访问用户的数据，并绕过可能存在的任何双因素身份验证。

02

Open ID Connect(OIDC)在 ASP.NET Core中的应用

我们在《ASP.NET Core项目实战的课程》第一章里面给identity server4做了一个全面的介绍和示例的练习，这篇文章是根据大家对OIDC遇到的一些常见问题整理得出。本文将涉及到以下几个话题：什么是OpenId Connect (OIDC) OIDC 对oAuth进行了哪些扩展？ Identity Server4提供的OIDC认证服务（服务端） ASP.NET Core的权限体系中的OIDC认证框架（客户端）什么是 OIDC 在了解OIDC之前，我们先看一个很常

08

OAuth 详解<1> 什么是 OAuth?

从高层次开始，OAuth 不是API或服务：它是授权的开放标准，任何人都可以实施它。

02

Domain Escalation: Unconstrained Delegation

在Windows 2000之后微软引入了一个选项，用户可以通过Kerberos在一个系统上进行身份验证，并在另一个系统上工作，这种技术主要通过委派机制来实现，无约束委派通过TGT转发技术实现，而这也是我们将本文中讨论的内容

02

开发中需要知道的相关知识点:什么是 OAuth?

从高层次开始，OAuth 不是API或服务：它是授权的开放标准，任何人都可以实施它。

04

【One by One系列】IdentityServer4（一）OAuth2.0与OpenID Connect 1.0

在微服务场景中，身份认证通常是集中处理，这也是有别于单体应用一把梭哈的模式，其中，在微软微服务白皮书中，提供了两种身份认证模式：

01

Flutter 中获取地理位置[Flutter专题11]

如今，发现用户位置是移动应用程序非常常见且功能强大的用例。如果您曾经尝试过在 Android 中实现位置，您就会知道样例代码会变得多么复杂和混乱。

01

技术译文 | MySQL 离线模式维护服务器

作为 DBA，最常见的任务之一就是批量处理 MySQL 服务的启停或其他一些活动。在停止 MySQL 服务前，我们可能需要检查是否有活动连接；如果有，我们可能需要把它们全部杀死。通常，我们使用 pt-kill[1] 杀死应用连接或使用 SELECT 语句查询准备杀死语句。例如：

02

解决Java应用程序中的SQLException：Access denied for user ‘root‘@‘localhost‘ 错误

java.sql.SQLException: Access denied for user 'root'@'localhost' (using password: YES) at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:127) at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:95) at com.mysql.cj.jdbc.exceptions.SQLExceptionsMapping.translateException(SQLExceptionsMapping.java:122) at com.mysql.cj.jdbc.ConnectionImpl.createNewIO(ConnectionImpl.java:862) at com.mysql.cj.jdbc.ConnectionImpl.<init>(ConnectionImpl.java:444) at com.mysql.cj.jdbc.ConnectionImpl.getInstance(ConnectionImpl.java:230) at com.mysql.cj.jdbc.NonRegisteringDriver.connect(NonRegisteringDriver.java:226) at java.sql.DriverManager.getConnection(DriverManager.java:664) at java.sql.DriverManager.getConnection(DriverManager.java:247) at BookManagement.<init>(BookManagement.java:23) at BookManagement.main(BookManagement.java:66)

02

突破SESSION0隔离的远程线程注入

传统的远程线程技术一般是向普通用户进程注入线程。而要是想隐藏的更深，则需要突破SESSION0隔离机制，将自身进程注入到系统进程中，使得自己更加隐蔽。突破SESSION0隔离的远程线程注入与传统的CreateRemoteThread实现DLL远程线程注入相比区别在与是用更为底层的ZwCreateEx函数来创建的。

05

深度解读-如何用keycloak管理external auth

简单来说，以google授权为例，一般就是通过用户授权页面登录google账号，再跳转用code换取到相应权限的token，就可以代表用户去发起一些google api的请求。

03

在wildfly中使用SAML协议连接keycloak

我们知道SSO的两个常用的协议分别是SAML和OpenID Connect,我们在前一篇文章已经讲过了怎么在wildfly中使用OpenID Connect连接keycloak,今天我们会继续讲解怎么使用SAML协议连接keycloak。

03

Salesforce 集成篇零基础学习（一）Connected App

https://trailhead.salesforce.com/content/learn/modules/connected-app-basics

02

《Spring实战》摘录 - 16

回答：视图状态会涉及到流程应用程序的用户，而行为状态则是应用程序自身在执行任务。行为状态一般会触发Spring所管理bean的一些方法并根据方法调用的执行结果转移到另一个状态

02

[壹刊]Azure AD（四）知识补充-服务主体

又到了新的一周了，也到了我新的分享的时间了，还记得上一周立得Flag，其中 “保证每周输出一篇文章” ，让我特别“在意”（这里用词不太恰当）。主要是我的一个大学舍友，他突然问了我一个关于写博的事情，自己也在上周开通了账号，也想着坚持写博客。在我看来，这确实是一件好事，写博不仅仅是分享的过程；也是自己提炼写博的一个过程，以及文章组织的能力，对自己还是很有好处的。这不仅仅要写内容要精炼，同时也要让别人能看的懂。加油，默默的在这里给他打气。(ง •_•)ง

02

GP规范中定义的四种SE访问控制架构

GP规范给人的感觉好像有点晦涩难懂，由于是规范，所以比较抽象，而且GP这个组织的专家们来自世界各地，大家都用英语文档交流，所以不同的文档风格不同，难免大家阅读起来有点拗口。

02

Britive: 即时跨多云访问

翻译自 Britive: Just-in-Time Access across Multiple Clouds 。

01

群组复制的成员防护模式 OFFLINE_MODE

通过群组复制，用户可以将系统状态复制到一组服务器来创建具有冗余性的容错系统。即使某些服务器发生故障，只要不是全部或大多数的情况下，该系统仍然持续可用。这篇博客将重点讨论发生故障的服务器（脱离群组的情况），即通过配置群组，防止发生故障后，服务器仍接受客户端请求。

04

③【Shiro】角色(权限组)、权限授权

01

OAuth2.0深入理解

1. OAuth2.0深入理解 1.1. 概念 OAuth（Open Authorization）开放授权，表示将系统功能部分授权给第三方系统调用，实现更细颗粒度的权限控制 OAuth是一种在线授权或者现场授权；IAM服务是一种预先授权或者离线授权通俗的将，OAuth协议的用途，比如我要用在线打印服务来打印网盘里的照片，一般做法有两种，一是从网盘下下来，上传到在线打印服务；二是把网盘账号密码告诉在线打印服务，由在线打印服务去做下载上传的操作。这两种做法一是太麻烦，二是不安全，OAuth就是为了这种情况设计

03

OAuth2.0 OpenID Connect 一

一开始，有一些专有方法可以与外部身份提供者合作进行身份验证和授权。然后是 SAML（安全断言标记语言）——一种使用 XML 作为其消息交换类型的开放标准。然后，出现了 OAuth 和 OAuth 2.0——同样是开放的，也是一种使用 JSON 作为媒介的现代 RESTful 授权方法。现在，“安全委托访问”的圣杯 OpenID Connect（以下简称 OIDC）运行在 OAuth 2.0 之上。

03

Spring Security 架构简介

Spring Framework 为开发 Java 应用程序提供了全面的基础架构支持。它包含了一些不错的功能，如 “依赖注入”，以及一些现成的模块：

05

SPN 劫持：WriteSPN 滥用的边缘案例

假设攻击者破坏了为约束委派设置的帐户，但没有 SeEnableDelegation 权限。攻击者将无法更改约束 (msDS-AllowedToDelegateTo)。但是，如果攻击者对与目标 SPN 关联的帐户以及另一台计算机/服务帐户拥有 WriteSPN 权限，则攻击者可以临时劫持 SPN（一种称为 SPN 劫持的技术），将其分配给另一台计算机/服务器，并执行完整的 S4U 攻击以破坏它。

05

【IOS】IOS开发问题解决方法索引（一）

若没有勾选LLVM Compiler 1.6 –> CodeGeneration –> Generate Debug Symbols 一项，则程序调试时无法命中断点。

04

使用Identity Server 4建立Authorization Server (3)

上一部分简单的弄了个web api 并通过Client_Credentials和ResourceOwnerPassword两种方式获取token然后进行api请求. 这次讲一下Authenticati

06

使用 Node.js 快速开启 ServerLess Functions：入门实践指南

近一年来我在很多地方看到 ServerLess 这一词出现，概念介绍的相对比较多，但是真正实践的还是很少，也是出于对新技术的好奇，所以我打算进一步的对 ServerLess 做一个了解，以便体验到 ServerLess 能给我们带来什么便捷，最好的例子还是先从一个 Hello World 开始。

02

SQL Server 2016 行级别权限控制

背景假如我们有关键数据存储在一个表里面，比如人员表中包含员工、部门和薪水信息。只允许用户访问各自部门的信息，但是不能访问其他部门。一般我们都是在程序端实现这个功能，而在sqlserver2016以后也可以直接在数据库端实现这个功能。解决安全已经是一个数据方面的核心问题，每一代的MS数据库都有关于安全方面的新功能，那么在Sql Server 2016,也有很多这方面的升级，比如‘Row Level Security’, ‘Always Encrypted’, ‘Dynamic Data Masking’

OAuth2.0 认证

密码模式(Resource owner password credentials)流程

02

Blazor.Server以正确的方式丶集成Ids4

我本来是想通过像vue框架那样，通过引oidc-client.js的方式，来实现Ids4的集成问题，我当时以为已经很好的，后来看了张队发的文章以后，发现好像我写的那种方式并不优雅。

01

Linux平台 Oracle 11gR2 RAC安装Part3：DB安装

Linux平台 Oracle 11gR2 RAC安装指导： Part1：Linux平台 Oracle 11gR2 RAC安装Part1：准备工作 Part2：Linux平台 Oracle 11gR2 RAC安装Part2：GI安装 Part3：Linux平台 Oracle 11gR2 RAC安装Part3：DB安装

01

【SDL实践指南】SDL安全设计概述

众多频发的网络安全事件表明当下很多的安全问题都是由于产品自身的代码业务逻辑判断不严谨、输入校验不严格、身份校验缺失、异常处理不合理、访问控制缺失以及不安全的配置等众多的因素引起的，而导致这样的安全问题发生的根本原因是由于在软件开发生命周期中缺乏对业务安全问题的考虑以及缺少对项目流程的安全控制，因此需要一个安全设计的最佳实践来指导软件项目的安全落地，所以SDL安全设计checklist应运而生

02

从TargetApi22升级到TargetApi26注意事项

最近谷歌爸爸要求在8月份,在googleplay上架的app必须升级到TargetApi26以上,作为常年使用TargetApi22的我,不得不去研究一下升级为TargetApi26的影响,主要如下:

01

超级！超级!超级好用的视频标注工具

$ wget http://mit.edu/vondrick/vatic/vatic-install.sh

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭