腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
将
access_token
存储
在
用户
声明
中
以
进行
授权
是否
安全
?
authorization
、
openid-connect
、
claims-based-identity
、
bearer-token
因此,我
在
设置IdentityServer4时遇到了持有者身份验证问题。基本上,我无法调用我的API资源,并且得到了一个401错误。当我使用
access_token
添加
授权
标头时。我能够从我的web请求
中
获得数据。获得的方法是将来自SecurityTokenValidated回调的
用户
声明
存储
在
一个
用户
声明
中
,该回调由相同的服务器客户端设置证明。,但我希望确保不会通过将我的auth_token<em
浏览 23
提问于2019-06-09
得票数 4
1
回答
Azure AD:如何使
安全
组和应用程序角色都进入访问令牌
azure-active-directory
、
azure-web-app-service
、
asp.net-core-webapi
、
access-token
、
azure-api-apps
对请求
进行
授权
和身份验证。然后,我想在我的控制器方法
中
执行额外的
授权
,
以
检查以下内容:
在
access_token
应用程序调用(客户端凭据)的情况下,检查提供的包含一个特定的角色
声明
,该角色
声明
与应用注册
中
定义的应用程序角色匹配--
在
user call
中
,检查提供的
access_token
是否
包含分配给该
用户
的特定AD组(<em
浏览 3
提问于2021-03-26
得票数 0
1
回答
在
Ocelot接口网关的特定路由中添加
授权
头部(
授权
:承载{
access_token
})
c#
、
asp.net-core
、
bearer-token
、
ocelot
其中一个端点需要通过JWT
进行
身份验证,
以
“
授权
:承载{
access_token
}”(“承载”关键字将其标识为承载/令牌身份验证方案)的格式作为
授权
头部发送。此令牌特定于应用程序,不用于向网关(使用不同的身份验证方案)
进行
身份验证,而是作为
声明
存储
在
应用程序的
安全
HttpOnly cookie
中
。虽然Ocelot确实支持
将
声明
转换为报头(https:
浏览 75
提问于2021-01-30
得票数 1
回答已采纳
2
回答
我应该如何和在哪里
存储
access_token
(
授权
代码授予)?
oauth-2.0
、
jwt
此服务器通过
授权
代码授予auth流与第三方API交互。当
用户
单击前端的登录按钮时,它被重定向到服务器,服务器重定向到第三方的登录表单。目前,我的服务器通过将带有重定向URL的令牌传递到前端,成功地检索到令牌后,
将
重定向回React应用程序。然后,我的前端将该令牌
存储
在
本地
存储
中
,并在发出请求时使用它。因此,我想这些都不是很好的
安全
实践,我想改善这一点。但是,我正在纠结于如何和在哪里
安全
地
存储
API密钥以便可以重用的问
浏览 0
提问于2019-07-23
得票数 0
回答已采纳
1
回答
php -
存储
access_token
的最佳解决方案
oauth-2.0
、
session-cookies
、
access-token
、
twitch-api
我正在创建一个小应用程序,
用户
必须使用Facebook
进行
身份验证(我正在使用OAuth2)。此时此刻,所有的过程都是这样的: 我们可以
将
访问令牌
存储
在
会话
中
以
启动
用户
会话
浏览 0
提问于2019-05-29
得票数 0
2
回答
Google+服务器端令牌验证
oauth
、
oauth-2.0
、
google-plus
、
google-oauth
我
在
我的应用程序中使用Google+登录。
用户
将
获得一个
access_token
,我希望将该令牌传递给我的服务器,并使用谷歌
进行
验证。让我困惑的是google文档中有关
安全
性的相互矛盾的信息:
声明
永远不要将
access_token
作为参数发送到我的服务器。那么,使用http
浏览 4
提问于2015-01-05
得票数 2
回答已采纳
1
回答
如何强迫机架:session+ sinatra从params而不是cookie
中
读取"rack.session“
ruby
、
oauth
、
sinatra
、
rack
、
cors
网站在80端口工作,oauth服务器
在
端口8080工作。算法:
浏览 1
提问于2012-11-26
得票数 6
回答已采纳
1
回答
在
微服务架构
中
组织
授权
的最佳实践?
authentication
、
architecture
、
authorization
、
microservices
例如,我有3个服务: 身份验证服务了解
用户
、
用户
组、角色、权限和创建令牌. 我应该把买卖双方的实体放在哪里?
浏览 4
提问于2016-02-13
得票数 19
回答已采纳
1
回答
ASP.NET MVC客户端混合流的认证
asp.net-core
、
identityserver4
简单地说:我想
授权
终端
用户
在
ASP.NET MVC客户端使用电子邮件和密码(它将向令牌服务器发送
用户
凭据以获取令牌),而且我不希望第三方客户机从我的API资源
中
检索数据。据我从文件中了解到: 如果id_token可以
存储
在
浏览器<em
浏览 0
提问于2021-02-23
得票数 1
回答已采纳
1
回答
安全
性- JWT和Oauth2 (刷新令牌)
security
、
oauth
、
oauth-2.0
、
cryptography
、
jwt
我正在尝试理解如何使用令牌
以
最好的方式实现
安全
性。我考虑了几个选择,我不知道哪一个是最好的,或者
是否
有更好的方法。2.使用凭据登录的
用户
将
获得refresh_token和
access_token
。对于每个请求,客户端都会附加
access_token
。对我来说,这个流程
中
的问题是,我不知道我
是否
因为令牌无效或
用户
试图访问未经
授权
的资源而被
授权
。 这让我想到了第三种解决方案。当
浏览 12
提问于2017-07-20
得票数 1
1
回答
带有刷新令牌的JSON web令牌逻辑
angular
、
security
、
oauth-2.0
、
authorization
、
jwt
刷新令牌
存储
在
db
中
,因此很容易被撤销。请求: 对
用户
名和密码
进行
验证,并根据数据库
进行
检查。看起来
在
本地
存储
refresh_token并不是个好主意--但是这允许“让我登录”。如果仅
将
每个浏览器会话
存储
在
私有成员变量
中
,则每次打开浏览器时,
用户</e
浏览 4
提问于2017-11-22
得票数 5
1
回答
为什么
在
OAuthAuthorizationServerProvider.GrantRefreshToken?
中
添加索赔
asp.net
、
asp.net-web-api
、
oauth
、
oauth-2.0
、
asp.net-web-api2
我正试图
在
我的单服务器(即我的Web项目既是
授权
+资源服务器)的上下文中理解这一点,如果有必要的话,我可以
在
以后的某个时间将它分成不同的服务器。: “应用程序必须调用context.Validated,
以
指示
授权
服务器中间件根据这些
声明
和属性发出访问令牌。”此外,“对context.Validated的调用可能被赋予不同的AuthenticationTicket或ClaimsIdentity,
以
控制哪些信息从刷新令牌流向访问令牌。”我认为所有
声明
都<e
浏览 5
提问于2016-05-19
得票数 3
回答已采纳
1
回答
是否
有方法
授权
只有现有帐户的
用户
?
flutter
、
firebase-authentication
、
google-signin
我正在开发一个移动应用程序,我
在
8月份使用Google SignIn,有办法
授权
用户
只使用现有的帐户吗?
浏览 3
提问于2020-03-15
得票数 0
回答已采纳
2
回答
如何在Dropwizard
中
对资源
进行
基本身份验证
java
、
rest
、
authentication
、
dropwizard
我相信我有基本的身份验证工作,但我不知道如何保护资源,以便只有在
用户
登录时才能访问这些资源。@GET public User signin(@Auth User user) { }我在
用户
上签名http://localhost:8080/myapp/signin{"name
浏览 3
提问于2013-12-18
得票数 16
回答已采纳
1
回答
基于SPA的.NET核心WebApi项目中的混合身份验证流程
angular
、
oauth
、
.net-core
、
asp.net-identity
、
jwt
这就是我对如何
进行
的有点模糊了。该应用程序接口使用ASP.NET核心身份,我们需要定义
将
应用于系统
用户
的“本地”(应用程序)角色。Angular应用程序需要知道这些角色,所以我希望
在
JWT中将它们传递给客户端。
是否
可以从ADFS
中
“扩充”令牌
以
包括其他
声明
?我
是否
应该创建并发布一个与本地
用户
关联的不同令牌,并在会话期间使用该令牌?基本上,
在
高层次上,我所困惑的是来自IdP的“身份”令牌和angula
浏览 11
提问于2018-03-03
得票数 1
1
回答
创建一个与OAuth兼容的SSO: client_id混淆的问题
api
、
security
、
oauth
、
oauth-2.0
、
single-sign-on
但是我找不到正确的方法,我想我缺少了grant_type=authorization_code方法,特别是 (B)
授权
服务器(通过
用户
代理)对资源所有者
进行
身份验证,并确定资源所有者
是否
授予或拒绝客户端的访问请求SSO应用本身就是一个OAuth客户端,具有自己的client_id,所以当
用户
进行
身份验证时,SSO会为这对夫妇(SSO,user)获取一个
access_token
,并将其
存储
到SSO的会话
中
以供进一步使用10行
中
浏览 0
提问于2017-02-28
得票数 1
回答已采纳
2
回答
授权
令牌应该有多少字节?
random
、
authorization
假设我使用
安全
PRNG生成随机字节,那么需要多少字节才能确保
授权
令牌的
安全
? 具体来说,当
用户
登录到网站时,
将
生成一个令牌并将其
存储
在
cookie
中
,
以
授权
未来的请求。服务器端,令牌
将
存储
在数据库
中
,并在收到请求时
进行
查找。
浏览 0
提问于2013-09-04
得票数 11
1
回答
通过客户端
授权
RESTful API
api
、
rest
、
authorization
API公开的一些服务只能供
授权
用户
访问。因此,每当
用户
登录时,他们都是经过
授权
的服务器端,并创建了一个
access_token
,它应该通过HTTP Auth.头传递,或者作为对受保护服务的每个请求的查询字符串传递。我担心的是,为了自动化
授权
的请求,并避免损害API的“RESTfulness”,我需要将
access_token
存储
在
客户端缓存
中
,并将其作为返回
用户
的cookie。我的问题是,
以
浏览 1
提问于2013-09-28
得票数 0
回答已采纳
1
回答
身份服务器3隐式
授权
,基于角色的
授权
asp.net-web-api2
、
claims-based-identity
、
identityserver3
、
role-base-authorization
、
membershipreboot
我已经设置了身份服务器3,成员身份重新启动数据库作为我的
授权
服务器,我还开发了一个Web项目,它将被一个javascript web应用程序访问。
用户
的角色
以
声明
的形式
存储
在数据库
中
(例如,“角色”、“admin”的键值)。此时我如何执行基于角色的
授权
?id_token似乎包含了这些
声明
,但
access_token
却没有。当按照Api请求发送
access_token
时,api如何知道发送
用户
具有哪些
浏览 0
提问于2015-10-14
得票数 0
回答已采纳
1
回答
IdentityModel实现:如何在到期日期或之后验证(并刷新)
access_token
?
c#
、
oauth-2.0
、
identityserver4
、
openid-connect
、
identitymodel
在
新客户机上,我使用IdentityModel包来处理身份验证和
授权
。到目前为止,我已经成功地完成了身份验证和
授权
工作,但是我遇到了与
access_token
的过期日期有关的问题。当
用户
点击
安全
网页时,使用
用户
的
access_token
向外部api发出请求,
以
获取
用户
的
access_token
返回
用户
的数据,并将网页与该完美地结合在一起。当
用户
点击
安全</
浏览 6
提问于2021-10-28
得票数 1
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
多端开放式工作平台设计浅谈
OIDC在 ASP.NET Core中的应用
爬虫模拟登录—OAUTH的详解
说一说常用的登录认证方式
微信JS-SDK签名接口的使用与开发
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券