1回答
我正在使用Identity server 4中的OIDC客户端JS和react,不断收到错误关于授权代码流,private getClientSettings(): any { authority: "https://localhostAllowOfflineAccess = true,
浏览 24提问于2020-05-17得票数 2
回答已采纳
New-AzureADApplicationPasswordCredential -CustomKeyIdentifier PrimarySecret -ObjectId $app.ObjectId创建的客户端秘密给出错误,当我使用那个秘密密钥时
身份验证失败: AADSTS7000215:提供的无效客户端秘密。确保在请求中发送的秘密是应用程序“xxxx”中添加的机密的客户端<em
浏览 5提问于2022-08-19得票数 -1
1回答
我计划部署单独的资源服务器和授权服务器,这两个服务器都运行在django oauth工具包上。假设使用我们的API服务的客户端或应用程序位于同一个组织中,并且它们的前端将使用我们的API,那么用户将在他们一方登录,我们只需要授权那些客户机(运行应用程序的客户端)。
浏览 8提问于2022-07-25得票数 0
回答已采纳
3回答
Keycloak公共客户端和授权
、、、、
我们使用带有Jetty的Keycloak适配器进行身份验证和使用Keycloak进行授权。根据
这个流程的另一个重要的方面是公共和机密客户端的概念。机密客户端在将临时代码交换为令牌时,必须提供客户端机密。公共客户不需要提供此客户端机密。只要严格执行HTTPS,并且您对为客户端注册什么重定向URI非常严格,公共
浏览 1提问于2018-11-02得票数 24
回答已采纳
3回答
我已经查阅了一些关于OAuth2机密和非机密授权流程的文件,即这和RFC。因此,为了实现非机密流,客户端必须首先使用服务器发出的client_id和客户端生成的状态。然后,客户端应该使用服务器返回的代码和相同的状态值。还必须向服务器注册redirect_uri。AFAIK (据我所知)这就是机密流和非机密流的区
浏览 0提问于2018-01-17得票数 7
1回答
广告客户保密是必要的吗?
、、、、
我有以下的疑问,我有一个基于微软认证的项目,一个带有棱角使用msal的前端和带有护照-azure-ad的后端。我的问题是,是否有必要使用客户端的秘密?
浏览 11提问于2022-03-23得票数 -1
回答已采纳
我正在阅读定义的OAuth2和 (关于授权代码授予的内容),它似乎表明,当客户端将授权代码交换为访问令牌时,请求需要包括authorization头(具体参见4.1.3节)。对于所有这样的请求,它确实是必需的吗?或者我可能理解错了,并且只需要这些请求的一个子集?如果是的话,子集是什么?
如果需要的话,那为什么呢?我认为授权代码足以证明客户机有权获得令牌。
浏览 0提问于2019-01-11得票数 0
3回答
我理解不同的流程,并得到授权代码流是好的,因为它允许客户端凭据和服务器与服务器之间的通信比通过用户代理的通信更安全。但即便如此,如果客户端和OP要通过用户代理在通信中使用经过身份验证的加密,那么使用中间代码似乎是不必要的。土拨鼠日攻击可以通过使用消息中指定的非常短的过期时间来限制,也可以通过对OP的初步请求来消除。假设有足够强<
浏览 0提问于2015-03-25得票数 3
我正在ASP.NET核心API的基础上构建一个React,我想使用OIDC进行身份验证。Grant类型是授权代码,客户端确实有一个客户端机密。由于我们将使用客户端机密,涉及该秘密的授权步骤必须通过我们控制的代理。
这在SPA和oidc客户的反应中可行吗?
浏览 4提问于2020-08-19得票数 0
OAuth2 password grant_type指出,
如果客户端类型是机密的,或者客户端获得了客户端凭据(或分配了其他身份验证要求),则客户端必须按照第3.2.1节所述使用授权服务器进行身份验证。因此,在公共客户端w/o客户端机密的情况下,上面的“如果客户端类型是机密的”是假的
浏览 0提问于2016-06-08得票数 3
3回答
在oauth中,您使用客户端id/机密发出请求以获得授权代码。然后进行第二个请求,将授权代码交换为访问令牌。我的问题是:
为什么需要这两个步骤,而不是首先获得访问令牌?它如何使整个过程更加安全?我指的是服务器端应用程序(例如php ),它请求远程服务器授权,而不是javascript。
浏览 0提问于2019-01-01得票数 19
回答已采纳
这意味着每次访问令牌过期时,客户端都应该请求一个新的令牌,包括请求中的ID和机密。我知道,在客户端凭据流中,您的客户端必须是机密的,并且可以将秘密存储在其中;然而,期望一个人能够保证该秘密永远不会泄露是不现实的。举一个例子,这是特别危险的地方,我目前正在研究使用什么样的认证和授权模型的API在我的公司。OAuth客户端<
浏览 0提问于2021-11-03得票数 0
ADFS3.0不支持Oauth2的隐式格兰特客户端流,也不支持客户端机密。初步调查表明,使用来自本机客户端应用程序的授权代码授权流并不安全,因为它公开了客户端机密,但ADFS 3.0不支持客户端机密。
是否可以从本机客户端应用程序安全地使用ADFS的授权代码授予流的实现?
浏览 0提问于2016-02-03得票数 3
根据Keycloak ,Java有一个名为public-client的属性,描述为
这到底是什么意思呢?
浏览 1提问于2021-02-21得票数 2
回答已采纳
在处理自己的用户名和密码持久性的web应用程序中,在登录时只要求一个密码是不够的。这是因为密码的熵相对较低,这意味着多个用户可能有相同的密码。将用户名作为附加因素添加可以提高安全性。在生成API密钥的其他模型中(如),只有该密钥才能进行身份验证。不需要用户名/公共标识符,因为API密钥本身是高熵的,而且实际上是唯一的。客户端和授权服务器之间的OAuth2流使用,其中:
浏览 3提问于2022-01-02得票数 0
2回答
获取gmail授权令牌和刷新令牌
、、、、
我使用Rails访问我的Gmail帐户和阅读电子邮件。我最近更改了我帐户的密码。从那时起,我无法使用我以前使用的凭据访问电子邮件。也就是说,更改密码后,客户端id、客户端机密和刷新令牌无效。尝试创建新的客户端id和客户端机密。但是为了生成刷新令牌,我需要授权代码。为此,我将执行以下步骤:
插入新创建<e
浏览 10提问于2022-08-10得票数 1
3回答
这一切都很好,但我有点困惑于秘密的使用(或者更具体地说,它的缺失)。然而,插件并不要求在应用程序中指定一个秘密(这是正确的),但它仍然使用授权代码授权来进行身份验证。,登录,获取代码,然后用
grant_type: autho
浏览 4提问于2016-09-02得票数 9
回答已采纳
1回答
客户端机密
、、、
我需要您的帮助,有谁能解释一下Google 为什么使用客户端机密和客户机id,以及客户端机密在身份验证中扮演的角色是什么?进程。
浏览 1提问于2014-12-08得票数 0
回答已采纳
在OAuth2.0的上下文中,在RO (资源所有者)批准同意(单击“允许”)之后,AS (授权服务器)将将客户端重定向到客户端传递的redirect_uri,并添加查询参数,例如(代码和状态):然后,客户端应该将:authorization_code + client_id + client_secret交换为访问令牌(将这些交换发送给Okta定义了clie
浏览 11提问于2021-07-28得票数 1
回答已采纳
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
