如何创建接受基本身份验证头或oauth2访问令牌的端点?
要创建一个接受基本身份验证头或OAuth2访问令牌的端点,你可以按照以下步骤进行操作:
- 首先,确保你已经有一个可用的后端服务或API接口,可以接收基本身份验证头或OAuth2访问令牌。
- 对于基本身份验证头,客户端在每个请求的HTTP标头中提供用户名和密码。后端服务可以通过验证这些凭据来确定用户的身份。通常,用户名和密码会使用Base64编码,并放置在"Authorization"标头中的"Basic"字段内。你可以使用后端服务支持的编程语言或框架来解析和验证这些凭据。
- 对于OAuth2访问令牌,客户端通常会先通过授权服务器进行身份验证和授权,并获取一个访问令牌。后端服务可以通过验证和解析这个访问令牌来确定用户的身份和授权范围。验证和解析访问令牌的方法取决于所使用的OAuth2实现和后端服务的技术栈。一般来说,你可以使用OAuth2库或框架来处理访问令牌的验证和解析。
- 在后端服务中创建一个相应的端点,用于接收基本身份验证头或OAuth2访问令牌。这个端点可以是一个API路由、一个控制器方法或一个处理请求的函数,具体取决于你的后端架构和设计。你需要确保端点的URL路径和HTTP方法与客户端发送请求时的期望相匹配。
- 在端点的实现中,根据接收到的请求头或参数来提取和验证基本身份验证头或OAuth2访问令牌。如果是基本身份验证头,你可以解析Base64编码的用户名和密码,并进行验证。如果是OAuth2访问令牌,你可以使用相应的库或框架来验证和解析令牌。
- 验证成功后,你可以根据需要执行相应的业务逻辑,处理请求并返回响应。根据你的后端服务的具体需求,这可能涉及数据库查询、调用其他服务或处理其他任务。
对于腾讯云的相关产品和文档,可以考虑使用以下资源:
- 腾讯云API网关(Tencent Cloud API Gateway):可以用于创建和管理接收基本身份验证头或OAuth2访问令牌的端点。详情请参考:腾讯云API网关
- 腾讯云访问管理(Tencent Cloud Access Management,CAM):提供身份验证和授权服务,可以与基本身份验证头或OAuth2访问令牌集成。详情请参考:腾讯云访问管理
请注意,以上是一种常见的创建接受基本身份验证头或OAuth2访问令牌的端点的方法和建议,并且没有提及特定的云计算品牌商。具体实现可能会因不同的技术栈和需求而有所变化,建议根据自己的实际情况进行调整和扩展。
相关·内容
我正在尝试实现一个oauth2服务器,以保护在php中开发的端点。对于如何保护我的终点,我有些困惑。我知道我的资源服务器应该是我的apache服务器,它承载了我所有的端点。我的授权服务器验证凭据,提供访问令牌来访问我的端点。我的端点如何知道即将到来的令牌是有效的?每个端点是否应该转到身份验证服务器并验证它们接收的令牌是否有效?这方面的流程将是什么?
浏览 0提问于2019-09-25得票数 -1
回答已采纳
3回答
如何锁定云端点中的API,使其只适用于特定的Gmail帐户(例如,您的console.developers.google.com电子邮件)?
有人告诉我,我可以在云端点项目的web.xml文件中使用安全约束,如下所示:
<security-constraint>
<web-resource-collection>
<web-resource-name>admin</web-resource-name>
<url-pattern>/admin/*</url-patter
浏览 3提问于2015-08-17得票数 0
回答已采纳
1回答
我正在使用FastAPI和JWT身份验证构建一个OAuth2应用程序。我有两个端点来创建JWT令牌。第一个被隐藏在OpenAPI页面中,但是被页面Authorize按钮所使用。第二个功能与API端点相同,但用户可以使用。
如果用户使用页面Authorize按钮并成功地进行了身份验证,则OpenAPI页面上的其余API端点将变得可访问。
如果用户只使用API端点,他们将得到一个有效的get_token令牌,该令牌可以与受保护的API一起使用,但是OpenAPI页面没有经过身份验证。
如何使用公共get_token API端点返回的令牌对OpenAPI页面进行身份验证,就好像用户通过了OpenAP
浏览 13提问于2022-10-31得票数 1
回答已采纳
为什么Spring OAuth2授权端点是受保护的,并且只有经过身份验证的用户才能访问,正如在“配置端点URL”下面所描述的那样
按照我对OAuth2授权代码授予的理解,对授权端点的调用应该返回一个对话框,在该对话框中,用户输入他的凭据以进行身份验证,还是我错了?经过身份验证的用户以后可以从令牌端点检索访问令牌(根据上面的描述,该令牌端点不受保护)。
浏览 2提问于2016-08-22得票数 1
回答已采纳
1回答
我正在使用Oauth2在我的系统中处理身份验证。虽然身份验证有效,但我担心我的刷新令牌端点的安全性。前端调用此端点以在其过期后获取新的访问令牌。
我的问题是,如何防止有人呼叫该端点并获取新的访问令牌?您是否会使用访问令牌对自己进行身份验证?目前,我正在使用这些令牌对单独服务上的API调用进行身份验证。
端点目前支持csrf,但这可能还不够。
谢谢!
浏览 1提问于2018-01-24得票数 0
1回答
我正在向带有WebApi后端的角SPA网站添加ADFS身份验证。为此,我使用客户端和RP设置了ADFS实例。
为了登录到SPA,用户被重定向到sts.Domain/adfs/OAuth2/Authory端点。用户在网页上进行身份验证,并被重定向到应用程序- www.domain/token/redirect.html?code=SOMECODE&state=URL中的一个页面。
此页面从URL参数中提取令牌,并调用sts.domain/adfs/oauth2/token端点来获取WebApi后端的JWT令牌。
var url = "https://sts.domain/adfs
浏览 2提问于2014-10-06得票数 8
我已经在Cloud IAP后面保护了一个Google App Engine应用程序--端点现在需要像预期的那样通过浏览器进行Google登录,并且一旦我添加了正确的权限,它就可以正常工作。但是,当我尝试使用Postman / MS PowerApps OAuth2身份验证时,我得到以下错误:期望JWT有3个部分,用‘’分隔。但是有两个部分。
以下是我的邮递员设置:
Grant Type: Authorization Code
Callback URL: Authed Callback URL (added to list in console)
Auth URL: https://acco
浏览 0提问于2019-10-02得票数 1
我有一个Web应用程序,它目前使用OAuth2来验证使用他们的Google帐户的用户。这个流程是非常标准的:用户登录到Google,web应用程序得到一个回调,检索用户身份并将其存储在会话中。
现在我需要创建一个附带的Chrome扩展。这个扩展需要访问下面的web应用程序,所以它需要对这个应用程序进行身份验证。我使用配置了我的扩展,但是在实验中,我意识到这不是我所需要的。由于它使用了OAuth2隐式流,所以它不返回可以在服务器端验证的令牌。这个流程只适合在客户端使用Google,这不是我的用例。本文档(以及我在Web上发现的其他内容)主要关注两个可能的案例:
我们希望在扩展端(chrome
浏览 1提问于2018-05-25得票数 12
我有一个现有的spring引导应用程序,它提供Rest,它不执行身份验证。身份验证是由FrontEnd应用程序处理的,对于来自FrontEnd的evert请求,我们在请求头(授权)中接收令牌,并且在继续处理org.springframework.web.client.RestTemplate请求之前,通过使用org.springframework.web.client.RestTemplate调用以下两个服务提供者端点来验证此令牌。为此,我们编写了一个拦截器来拦截每个请求并验证令牌。
令牌信息端点用于验证令牌,用户信息端点用于获取用户详细信息。
UserInfo: https://dev-lo
浏览 1提问于2021-11-24得票数 0
我们有两个网络应用程序。其中一个是在Django开发的,我们称之为门户(oAuth2提供者)。另一个是用PHP开发的,我们称之为客户端。
我们希望在门户网站上为经过身份验证的用户显示一个链接,这样通过单击链接,用户将自动登录到客户端网站。没有密码询问,客户网站应该打开,用户应该已经登录到客户网站上。
是否有可能使用oAuth2实现这样一个神奇的链接,或者我们必须创建自己的解决方案?
浏览 0提问于2018-11-20得票数 2
回答已采纳
我正在尝试为我的angualar2Web项目实现一个oauth2身份验证。这个项目完全依赖于rest apis。所有ng-oauth2我找到的包都需要一个新的登录页面来进行身份验证。但我需要restful身份验证。我已经设置了一个带有ouath2身份验证的django服务器。
因此,我需要将身份验证url称为
mydomain.com/oauthlogin
具有标头值
Authorization: Bearer JnEmTyenQS54L6NZeJ4eVhcQ1DLDOa
是否有任何具有这些类型的身份验证的包?
浏览 1提问于2017-06-26得票数 0
我遵循了OneLogin Developer Portal - 中提供的示例。我做了文章中描述的一切。但是在运行应用程序时,就会发生身份验证;我被带到OneLogin页面并输入凭据。但在重定向时,我会发现以下错误。
"“是管理门户中配置的重定向url。它是在第一个请求中传递的默认url。
<?>&redirect_uri= profile email&state=UY6Tam
在中,端点没有实现。但我不认为应用程序开发人员需要实现该端点。
我试过了。我们可以在app配置(spring-security-url)和github sso配置(app-u
浏览 9提问于2022-01-21得票数 0
2回答
当阅读有关使用JWT保护应用程序的信息时,通常会说客户机最初从服务器获得一个令牌,然后将此令牌连同每个请求一起发送到API。
一旦您有了令牌,这种方法就会很好地工作。据我所见,传输令牌的默认方法是使用HTTP报头,即使用作为值的标记前缀的身份验证。
但是--是否也有一种默认的方法来获得令牌呢?在示例中,您经常会看到这只是对和HTTP端点的简单请求,然后返回JSON。但是我想知道是否有更多的标准工作流,例如描述这个端点的名称,比如在OAuth2中?
有什么暗示吗?
浏览 3提问于2015-07-26得票数 6
回答已采纳
使用OAUth2 web服务器流,我已经:
用户尝试访问www.Third-Party.com/迎宾
用户重定向至www.myserver.com/oauth2/authorize
MyServer对用户进行身份验证,并将其重定向到www.Third-Party.com/迎宾?code=.
第三,Party.com在幕后与myserver.com对话,用code交换OAuth2访问和刷新令牌。
一切都很好。现在,第三方需要确定用户的规范用户名,因此它可以对资源(如www.myserver.com/api/{ username }/details )进行ReSTFUL U
浏览 2提问于2013-09-03得票数 2
我想看看Oauth2/OpenIdConnect是否适用于我们的场景。
通常,我们的客户端登录到我们的系统,创建一个会话,客户端重定向到我们的reports.aspx页面。
我们的客户很懒,他们想要一种简单的方式,通过他们供应商的网站登录我们的网站一次,而我们的供应商不想在我们已经有用户管理数据库的情况下保留用户管理数据库。
我们的客户正在与他们的供应商合作,让他们的客户应用程序通过我们的身份验证,然后他们可以被重定向到我们的reports.aspx页面。有点像单点登录。
在Oauth2规范中,有很多关于RESTful API端点的引用。如果您没有RESTful应用编程接口端点怎么办?遵循授权
浏览 0提问于2017-01-10得票数 0
1回答
我正在测试如何针对一些不一致的端点执行api请求。我有从Oauth2进程获取的访问令牌。首先尝试,使用邮递员,一个简单的: https://discord.com/api/v9/users/@me 啊,真灵。但随后试图修补一个用户: https://discord.com/api/v9/guilds/xxx/members/zzz 我收到一个401未经授权的错误。 我知道我需要一些许可,但我找不到是哪一个。提前感谢您的帮助。
浏览 5提问于2021-11-06得票数 0
回答已采纳
我看到了答案如果我不使用饼干,CSRF有可能吗?,但有两个相互矛盾的答案,问题本身也没有提供那么多的信息。
我正在创建一个REST,它将被运行在另一个域上的web客户机(我们自己创建的)使用,因此我们将执行CORS请求。此API作为oauth2资源服务器运行,因此访问受到身份验证标头中传递的访问令牌的限制。我们那里没有饼干,一切都是无状态的。我正在遵循https://spring.io/blog/2011/11/30/cross-site-request-forgery-and-oauth2文章中的建议
我们将使用SSL
我们有预先注册的重定向uri
我们唯一的授予类型是授权代码,而不需要客户
浏览 0提问于2018-07-11得票数 10
回答已采纳
你能帮我。建议如何设置已使用oauth2进行身份验证/授权的端点的应用编程接口?
是否可以仅为1个端点禁用WSO2中的oauth2?
非常感谢。
浏览 2提问于2020-09-14得票数 2
2回答
我正在为我创建的一个应用程序接口实现一个oauth2解决方案,我正在与潜在的不安全因素(或者至少是我的理解)作斗争。
只生成一个令牌并将其用作端点请求的身份验证凭据是否正确。如何阻止潜在的暴力破解攻击,攻击者只需向API提交令牌,希望令牌有效并在使用中?
我可能误解了一些东西,但我无法理解它到底是什么。
浏览 3提问于2012-12-28得票数 2
回答已采纳
考虑一个由ApiGateway和-Lambda组成的restapi后端。
在成功的oauth2身份验证之后,authorization在代码授权授予流中向客户机返回一个access_token和id_token。
在api调用期间,lambda函数需要知道经过身份验证的客户端的电子邮件地址,因此我基本上有两个选择:
在由验证并传递给Lambda的Authorization头中发送Authorizationid_token。让Lambda解密id_token并访问其中包含的电子邮件地址。
将access_token发送到Authorization头中,该消息由ApiGateway与sco
浏览 3提问于2020-10-13得票数 2
回答已采纳
我使用spring security oauth2 password grant来验证具有clientid/client密钥的用户。我面临的问题是端点将密码作为查询参数。这将记录在运行此服务的服务器的访问日志中。我在端点上有一个包装器,它使用HTTP在内部调用令牌端点。
我无法控制服务器,也无法屏蔽密码或禁用访问日志。
有没有办法直接调用底层端点控制器方法本身,而不使用REST端点来实现这一点,或者其他一些不需要通过查询参数发送密码的方法?
浏览 0提问于2016-10-07得票数 1
我很难找到一种很好的方法来实现OAuth2.0和OpenID连接身份验证,同时使用B2B安全性为B2B应用程序的API进行现有的内部email+password身份验证。
我们有一个后端REST,它是一个servlet应用程序,它目前使用OAuth 1.0和password授权对用户进行身份验证。前端是一个有角度的单页应用程序,用户必须使用他们的用户名和密码登录。然后,API的/oauth/token端点提供一个不透明的访问令牌,用于获取安全资源,然后在应用程序中显示这些资源。
我们希望增加使用OpenID连接使用外部身份验证登录的可能性,这是切换到OAuth 2.0和JWT令牌的绝佳机会。然
浏览 3提问于2022-08-12得票数 0
我们正在尝试允许一个可信的第三方web应用程序自动验证我们自己的应用程序中的用户。我们考虑过在这方面使用oauth2。
在我们的场景中,我们将提供一个oauth2服务器,初始握手将类似于这样( imho是常规的oauth2 3腿机制)。假设acme是我们服务的名称。
第三方应用程序有一个connect to acme按钮
用户单击该按钮并被重定向到acme服务。
基于acme站点的基于表单的用户登录
Acme服务向用户显示3rd party wants to access your account对话框。
用户单击accept
Acme服务生成oauth2令牌并将其重定向到第三方。
第三方存储
浏览 0提问于2015-10-09得票数 4
回答已采纳
我对oauth2和OIDC有点困惑。
因此,假设使用OIDC,我们现在得到了在同一oauth2流中唯一标识用户的id_token。但我的理解是- oauth 2比OIDC更早出现,即使在这一点上,对OIDC的支持也不是通用的。
那么,当前使用oauth2 (没有OIDC)的API是如何工作的呢?
假设有一个移动应用程序需要使用一些API。
在移动应用get的oauth2访问令牌->之后,他们是否总是必须使用该访问令牌访问像/me这样的端点,然后该端点将提供用户id信息?因此,api必须跟踪为每个特定用户提供了哪些访问令牌?
Sry这个问题看起来像是请求一些琐碎的信息--但我对oauth2
浏览 1提问于2018-04-28得票数 1
我试图了解哪些认证适合Azure函数应用程序,因为我必须向外部团队公开功能应用程序的结尾。
我已经启用Azure身份验证并计划共享应用程序注册client_id和client_secret (端点OAuth2/v2.0/令牌),它们将生成承载令牌来验证和使用我的端点。
我想知道是否还有比Azure-AD更好的身份验证方法,因为我正在接触外部团队。
请协助,谢谢。
浏览 3提问于2022-07-08得票数 2
1回答
我正在尝试将Microsoft活动目录集成到我的应用程序中,
到目前为止我能取得的成就和我被困的地方-
1.
我的URI请求授权代码-
https://login.microsoftonline.com/{{tenant-id}}/oauth2/authorize?
response_type=code%20id_token
&scope=openid
&response_mode=query
&redirect_uri=http://localhost:8081/dashboard.html
&client_id={{client-id}}
&nonc
浏览 2提问于2017-06-09得票数 0
我正在尝试使用JWT令牌实现OAuth2身份验证。如果我理解了,我需要将凭证发送到授权服务器,这将验证我凭证,并返回签名的JWT令牌。接下来,我尝试实现扩展WebSecurityConfigurerAdapter的WebSecurityConfig,在那里我必须设置哪些端点是安全的,哪些不是。
但我的问题是:我需要资源服务器吗?它能不能和我的潜在WebSecurityConfig做同样的事情?
我的目标是为我的网站创建简单的JWT身份验证。
浏览 0提问于2018-02-06得票数 3
回答已采纳
1回答
我们需要实现一个定制的OAuth2解决方案,其中UI客户机通过代理到达资源服务器。UI调用代理的端点,代理使用OAuth2服务器执行身份验证。如果此过程成功,则将进一步调用资源服务器,并转发其响应。
在登录期间,UI将调用/security/ login,这将使用response_type、scope、redirect_uri和client_id调用response_type服务器的授权端点。此调用向用户返回一个登录页,通过此登录是成功的。
之后,重定向将使用authorization_code执行。然后,用接收到的代码调用OAuth2/令牌端点。
问题是:
在上面描述的最后一点上,由auth
浏览 5提问于2022-09-28得票数 0
所以我有一个单一的网页客户端应用程序。
法线流:
App -> OAuth2服务器->应用程序
我们有自己的OAuth2服务器,因此人们可以登录到应用程序并获得与用户实体相关联的access_token。
我们的特殊流.
我们还有这个特殊的端点/oauth2/vendor/facebook/auth?client_id=Xredirect_uri=
App1 -> OAuth2 server2 -> Facebook3 -> OAuth2 server4 -> App5
2我们对redirect_uri进行了urlencode编码,并将其作为自定义参数传递给
浏览 5提问于2014-09-23得票数 3
回答已采纳
我在我的应用程序中使用Security来保护我的大部分端点。我使用Security OAuth2来保护某个子集。外部服务器和资源服务器本身上的用户都将访问这个OAuth保护端点的子集。
是否有可能在此端点上同时使用这两种保护,并使用-或?如果用户从外部服务器访问端点,他们将需要一个OAuth访问令牌才能进入,如果用户直接登录到资源服务器,他们将没有访问令牌,但我想使用我的另一个筛选链来执行我的标准身份验证。
我以前从未见过有两个单独的过滤器链的HTTP块,但是也许有一些我不知道的方法。
浏览 0提问于2015-01-30得票数 2
回答已采纳
1回答
我建立了基于Azure Active Directory (AAD)的身份验证,并接收了Azure AAD令牌,开始探索MicrosoftDynamics365BusinessCentralAPI ()。
现在,当用户想要断开与我的应用程序的连接时,我需要一种撤销令牌(上面提到的)的方法。我试图找到一个像.../oauth2/deauthorize这样的端点,并使用data={'refresh_token': <my-refresh-token>}和headers={'Authorization': <my-client-id-client-s
浏览 10提问于2022-06-16得票数 0
我需要一个OAUTH2认证服务器为我的单一网页网页应用。我能够构建支持使用Spring授予类型密码的OAuth2身份验证服务器。但是Spring需要一个客户端秘密来对/auth/token端点进行基本身份验证。我认为这不安全,任何人都可以从JS代码中提取客户端的秘密。所以我想找出如何在不泄露客户秘密的情况下做到这一点。另外,我希望我的每个SPA没有自己的登录页面,但是在auth服务器中有一个登录页面,我的SPAs的用户将被重定向,并且在登录后他们将被重定向。我知道这是一个常见的场景,但是我找不到一个教程来说明如何使用Spring来完成这个任务。我会感谢你的建议。
浏览 4提问于2017-04-25得票数 1
回答已采纳
我正在尝试访问一个由应用ID服务实例保护的rest。我尝试过两种访问rest资源的方法,但是每次我都会将<title>Redirect To OP</title>重定向为响应,而不是实际的资源。
1.方法1
使用云目录用户&和grant_type=password作为令牌端点
1.1我在云目录中添加了一个用户和密码。
1.2HTTPPOST以<oauthServer>/token端点作为基本身份验证和grant_type=password、username=<cloud_direcotry_user>、password=<passw
浏览 2提问于2018-10-07得票数 0
我正在实现一个Spring应用程序,在这个应用程序中,方法调用第三方REST端点。在OAuth2身份验证之后,可以访问此REST。这就是为什么我从第三方检索令牌(不同的用户可以使用我的应用程序,并尊重地调用其余的端点)并使用这些令牌进行授权,以便调用端点。但是在当前的实现中,这发生在每次调用之前。这就是为什么我想征求意见,如何缓存这些令牌,以及这是否是一个好的实践。同样,令牌将在1小时内过期。
浏览 6提问于2019-09-26得票数 7
我以前没有碰过AAD,但我必须使用它来验证REST服务的用户身份。
我有一个移动客户端,可以使用OAuth2对AAD上的用户进行身份验证。因此,它有一个承载令牌。此承载令牌移动客户端应将其用作请求受保护的REST服务的参数。
REST服务是一个基于Java的应用程序(spring-boot),它在AAD中注册为一个Web应用程序,但我无法找到它如何连接到AAD进行检查是否有效的方法。我希望有类似于/oauth2/check_token端点的东西,它可以获得一个令牌值并返回一个用户数据,但是我没有找到任何东西。
是否可以将AAD用于第三方应用程序的身份验证用户,如果可以,如何进行?
浏览 3提问于2015-09-17得票数 0
回答已采纳
2回答
我使用Nodejs、Expressjs、MongoDB和JWT创建了一个身份验证API。现在,我用React做了一个小的前端,它只做注册和登录。我集成了登录,现在当我尝试将登录与前端集成时,当我到达登录端点时,我就得到了访问令牌。我不知道如何使用访问令牌对用户进行身份验证。有人能帮我吗?
{
"id": "5f2bc55f5ea2f61fd8b26fcf",
"username": "wango",
"email": "wango@gmail.com",
"
浏览 3提问于2020-08-07得票数 1
回答已采纳
作为OpenID连接(登录的OAuth2)的一部分,我的应用程序应该通过端点https://www.googleapis.com/oauth2/v3/token请求一个访问令牌,给定一个一次性授权代码。根据,该请求需要传递给它的5个参数,其中包括client_id。这正是我的应用程序所做的,使用Perl模块Net::OAuth2。
几个月来一切都很好,但是今天我被通知它停止工作了。没有对应用程序代码或它使用的库进行任何更新。
我的应用程序现在在调用token端点时从服务器接收的消息是400错误响应中的消息:
OAuth 2 parameters can only have a single v
浏览 4提问于2015-04-17得票数 6
回答已采纳
我知道OAuth2和OpenID连接是如何工作的。但仍有一些困惑困扰我。
我们开发了自己的Auth、服务API和移动应用程序。因此,客户端应用程序是可信的,我们使用“密码”授予类型。应用程序用户存储库遵循auth服务器中相同的用户数据库。
我们的客户通过用户名/密码登录到应用程序。然后,应用程序将用户凭据提交到Auth Server令牌端点,该端点将将(承载)访问令牌和ID令牌(JWT)返回给客户端。ID令牌包含基本的用户信息,这样应用程序就可以像“欢迎Tony!”这样问候用户。访问令牌可用于访问API (例如,更新用户配置文件)。
设计的OAuth并不是一种身份验证工具。参考文献:
我的问题
浏览 0提问于2019-07-10得票数 1
我提供了一组公共web API供第三方应用程序(客户端)使用。我想跟踪这些客户端如何使用我的API,因此我需要为这些客户端生成令牌。同时,我需要对真实用户进行身份验证,不同的用户可以看到相同资源的不同表示。我知道OAuth2可以解决我的问题,但它很复杂。我更喜欢对用户和应用程序使用HTTPs + basic身份验证,因此我将在客户端和实际用户的HTTP头中使用不同的属性。这是合适的方式吗?
浏览 7提问于2014-03-25得票数 0
3回答
我已经阅读了大量关于OAuth和OpenID连接的文章,但这个问题专门涉及OAuth2资源所有者密码授予(又名OAuth2资源所有者凭据授予,又名OAuth2密码授予)。
一些资源(比如贾斯汀·里奇的"OAuth2 in Action“一书)说,不使用OAuth2资源所有者密码授予进行身份验证()--参见书中的6.1.3节。
其他好的资源,比如下面的,都说我们可以使用OAuth2资源所有者密码授权来通过受信任的应用程序对用户进行本质的身份验证
但是,我很难理解为什么我们不应该使用OAuth2资源所有者密码授权作为认证成功的本质证据?
我对资源
浏览 7提问于2017-11-23得票数 6
我正在访问一个提供访问令牌over方法的服务,该方法接受client_id和client_secret作为查询字符串参数。该服务声称是OAuth2的投诉。我查看了OAuth2规范以获得客户端凭据授予。规范上是这样说的:
客户端通过添加
以下参数使用"application/x-www-form-urlencoded“
每个附录B的格式,HTTP中的字符编码为UTF-8
请求实体-机构:
需要grant_type。值必须设置为"client_credentials“。
范围可选。第3.3节所述访问请求的范围。
客户端必须与授权服务器进行身份验证,如
第3.2.1节所述。
浏览 1提问于2020-07-14得票数 0
回答已采纳
1回答
我有某些端点"/ui/“和”/non/“。在"/ui/“端点上,启用Oauth2代码授予类型。然而,同一个ui用户在成功登录oauth2后也可以访问“/non/”端点。我不希望ui用户能够访问“/non/”端点,也不希望为“/non/”端点启用oauth2登录。
要从oauth2登录中排除“/non/**”端点,我可以使用以下代码:
public void configure(WebSecurity webSecurity) {
webSecurity.ignoring().antMatchers("/non-ui/**");
}
如何限
浏览 1提问于2021-04-09得票数 0
谁能帮我找出LinkedIn V2版本的公共API端点的范围,它的范围是什么。 哪些是执行OAuth 2.0身份验证过程的正确网址。https://www.linkedin.com/oauth/v2/authorization https://www.linkedin.com/oauth/v2/accessToken 或 https://www.linkedin.com/uas/oauth2/authorization https://www.linkedin.com/uas/oauth2/accessToken
浏览 16提问于2019-01-11得票数 0
是否可以将OAuth2访问令牌(或OpenID连接id_token)交换为WS-* SAML令牌?
以下是我们想要完成的具体情况:
用户已经使用OpenID连接端点进行了身份验证,并发出了id_token。
同一用户已使用OAuth 2端点进行授权,并发出访问令牌。
单页应用程序从安全的ASP.NET Web请求数据,并发送id_token和访问令牌。
这里有一个问题/棘手的部分:我们希望WCF Web从使用WS-*保护的WCF服务中获取数据,因此WCF服务需要一个签名的ASP.NET令牌。
是否可以将OpenID连接id_token和/或OAuth 2访问令牌交换为符
浏览 2提问于2016-03-11得票数 1
2回答
我想使用Aws rest网关构建一个Rest。这将是生产api (托管在私有服务器上)的新版本。
在当前版本的api中,我们使用oauth2和授予类型密码进行身份验证。这意味着客户端发送他的用户名并传递到“./access_ token”端点,从那里获取他的令牌。有了这个标记,他就可以调用其他端点。
在新的api版本上,我使用的是Api网关和Authorizer。我想根据用户名和密码字段为资源提供访问权限
我创建了一个用户池,并在那里添加了我的用户。如何仅使用api端点进行身份验证?
我不能使用Oauth“客户凭证”流,因为是机器对机器和客户端机密将不得不公开。
在授权代码或隐式授权时,我必须
浏览 12提问于2021-12-07得票数 0
3回答
为了学习目的,我正在使用OAuth2开发一个REST +Range4应用程序。
有些受保护的端点只能由经过身份验证的用户调用。让我们以一个端点为例来更新用户的配置文件:
发布/用户/{user_id}
登录用户将能够通过进入update屏幕更新他们自己的配置文件,该屏幕将调用/ users /{user_id}发送带有新信息和访问令牌的有效负载。
如何防止恶意用户调用同一个端点来更新其他用户的配置文件?
具有id 1的用户应该能够调用/ user /1,但不能调用/user/2?
这是可以用OAuth完成的吗?或者是我误会了什么?
谢谢。
浏览 0提问于2018-04-18得票数 0
回答已采纳
1回答
我有AWS K8s集群(EKS),我希望使用API网关来保护端点,并将授权逻辑与微服务分开。我需要有两个身份验证模式:
发送登录/密码并获取JWT
OAuth2
API网关与K8s集群通过进行集成。看上去很好。那我需要验证一下。AWS提供认知服务,作为管理用户的服务,以及拥有自己的身份提供者的可能性。我知道我们可以将API网关授权器与认知技术集成在一起,但我无法理解以下内容:
例如,如何将认知与已经存在的LDAP集成起来?(SAML?)
我可以使用我自己已经创建的OAuth2身份验证端点吗?
如何使用登录/密码进行身份验证并使用API gateway+Cognito
浏览 2提问于2020-09-29得票数 2
回答已采纳
我在Paw.app中有3组变量用于与API交互。
我有:
一种称为目标API的Global (生产、预生产、开发)。
一个用于Authentication ( OAuth2 client_credentials auth或OAuth2密码auth)。
一个用于Accounts (仅在使用密码身份验证时使用)
我的问题刚刚宣布,我认为它今天早些时候并没有做到这一点,所以我不明白…出了什么问题
当执行包含头部的请求时,Authorization: {Authorization}是Global环境中的一个动态变量。{Authorization}被一个标准的OAuth2动态值所取代
浏览 2提问于2017-05-11得票数 1
回答已采纳
问题
我正在开发一个FastAPI应用程序,它需要对用户到达的某些端点进行身份验证。我正在使用Oauth2和FastAPI中的Jose创建用于身份验证过程的JWT。在进行了一些研究之后,确保令牌在前端受到保护的最佳方法似乎是将它们存储在HttpOnly Cookies中。我很难理解如何通过HttpOnly Cookies正确地传递JWT,以便我的FastAPI服务器能够在头中验证JWT。目前,当我尝试将JWT令牌作为HttpOnly Cookie传递时,我会得到一个401 Unauthorized Error。
我试过的
当我将令牌作为模板字符串编码到标头中时,我已经能够使用JWT令牌成功地验
浏览 17提问于2022-11-30得票数 1
回答已采纳
1回答
邮递员的云恢复请求
、、、
我已经创建了一个具有集合和一些文档的Cloud数据库。我想向邮递员提出一些要求,但我无法鉴定。我已经创建了一个服务凭据,并试图获得身份验证的令牌,但没有成功。知道怎么弄到吗?
要获取令牌的端点是哪个?
提前谢谢。
浏览 1提问于2020-04-19得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
