oauth2端点如何确定请求的授权类型? 是端点本身(即每个端点专用于一个或多个授权类型)。或者是请求中发送的参数列表?或者它是grant_type参数的值? 以anilist.co为例。他们的oauth2文档指出,对于授权码授权,使用以下端点和这些参数: https://anilist.co/api/v2/oau
浏览 54提问于2019-04-12得票数 0
回答已采纳
我是一个天真的OAuth2用户,试图保护Rest服务。我们有一个环境,在那里我们自己开发了客户端和服务器。客户端部署在Nginx服务器上,使用HTML、CSS和Javascript创建。在Javascript中,我们使用AJAX向REST WebService发出post请求。REST部署在Tomcat服务器上。现在,为了实现OAuth2,我读到了它,发现客户机的类型决定了要使用哪个OAuth授权。在此方案中,客户端
浏览 0提问于2017-02-22得票数 0
1回答
刚刚注意到,在OAuth2中,当请求的授权类型为:"code“时,回调将其包含在查询字符串参数中(‘?’之后)。但是,当授权为"token“时,它将作为片段传递(在”#“之后)。这看起来是规范()的一部分。谢谢,Piotr
浏览 0提问于2013-02-05得票数 19
回答已采纳
我正在尝试理解OAuth2和它的宏大类型。我只想知道使用REST API授权无浏览器应用程序(例如,作业)的propper授权类型流程是什么。authorization_code和implicit flow需要用户交互(在浏览器中写入用户名和密码),因此两者都不适合无浏览器授权。也许为每个用户创建一个客户端是可行的,但听起来像是一件坏事。
password授权类型
浏览 0提问于2021-01-24得票数 2
我为我的OAuth2逻辑使用了PHP代码。在与Vue框架结合时,使用OAuth2验证的最佳实践是什么。我读到使用了隐式授权类型,但由于安全原因,它已经不再使用了。有没有合适的OAuth2使用方法的好指南?
浏览 17提问于2018-12-17得票数 0
1回答
用户尝试访问受保护的资源,并按照协议的要求在请求中传递访问令牌。
我在刷新令牌的形式中发现了一些类似的。谢谢
浏览 3提问于2013-04-18得票数 0
回答已采纳
1回答
我正在做的这个项目,我计划拥有一个定制的授权服务器、一个资源服务器和一个客户端(很可能是SPA)。此授权服务器将只允许授权代码(可能带有PKCE扩展)授予类型。这就引出了我的第一个一般性问题。直观地,我假设密码授予类型就足够了。正如我已经做了越来越多的阅读,它看起来这个赠款流动不是要走的路。据我所知,使用此流程将要求客户端提供某种形式,以便用户可以登录。这样做可以让客户端访问用户凭据,这大大违背<e
浏览 2提问于2021-11-18得票数 0
回答已采纳
1回答
我需要使用MVC Web Api从ADFS验证用户,在那里我可以将用户id和密码发送到API authenticate user。
浏览 1提问于2018-11-28得票数 0
我在Lumen微框架中使用OAuth 2身份验证。现在我使用的grant_type值是password。如果我使用的是不同的东西,它会抛出unsupported_grant_type。我想知道使用grant_type的目的是password
浏览 0提问于2017-07-12得票数 7
回答已采纳
OpenAPI允许您指定用于身份验证和授权的各种:basic、OAuth 2.0等。其中包括在特定cookie头字段中发送令牌或密钥的简单方案:。根据Swagger页面上的示例,cookie auth方案可以如下所示: securitySchemes: type: apiKey name: JSESSIONID # co
浏览 11提问于2019-10-09得票数 1
回答已采纳
假设客户机是我们信任的BFF (前端后端),它使用通过请求授权服务器的/token端点来获取访问令牌。此外,通常会发生以下情况--客户端向资源服务器发送包含每个请求的Authorization: Bearer access_token头,资源服务器使用接收到的令牌来决定是否授权请求。或者它们甚至可能是一些特殊的专有标记。OpenAPI只允许您指定请求端点(资源服务器)所需的OAuth安全方
浏览 6提问于2022-01-26得票数 1
这个问题更多的是理论上的,所以我不知道它是否应该在这里。我想使用OAuth2对我的用户进行身份验证。我在谷歌上搜索,发现OAuth 2有很多工作流程,我不知道该用什么。我的前端是用React开发的,后端是用springboot在java上开发的。谢谢你的
浏览 3提问于2019-04-05得票数 0
1回答
我正在为自己创建一个应用程序(不会发布),它将从用户那里获取一个查询输入,并使用该查询在twitter上搜索。身份验证是如何工作的,我是否可以对我将使用的应用程序进行身份验证?
浏览 7提问于2015-07-18得票数 1
回答已采纳
2回答
我已经读了很多关于Oauth2授权的文章,但是我似乎找不到一个明确的答案来回答我的问题,所以我希望你们中的一个人能在这里帮助我。如果我理解正确的话,Oauth2是专门为授权公共第三方客户端的部分应用程序接口而设计的。我似乎在规范中找不到任何关于授权第一方客户的内容。我读过一些关于使用隐式授权类型的文章,但是感觉
浏览 46提问于2019-12-26得票数 1
回答已采纳
1回答
对于Drupal 8/9中OAuth授权和认证的工作方式,我非常困惑。让我把我的观点放在第一位,如果我错了,请纠正我。身份验证是指实体证明身份时。创建了一个新角色,用于指定简单OAuth使用者的作用域,并设置所需权限。
通过添加RSA密钥对、密码和作用域创建使用者。通过提交一个包含/oauth/token、client_id、client_secret、username和password的请求
浏览 0提问于2020-06-26得票数 0
2回答
因此,我试图通过API从外部应用程序访问自己的数据。我只需要访问我自己的数据。不尝试从我的任何用户帐户接收数据,所以他们不需要授权任何东西。然后允许我通过API访问我的帐户。我95%确信这个过程对于所有的OAuth来说都是标准的,但我想我会提供细节,以防它不是。
如何在后端提供凭据以获取输入令牌请求的代码,从而拒绝所有用户交互?我使用的API迫使我使用OAuth。
浏览 3提问于2017-06-02得票数 13
回答已采纳
我一直在研究OAuth2规范和许多支持材料,但无法决定用例使用的最佳方法/流程。
我有一个wep应用程序,我的用户可以通过SSO机制访问。这是一种基本的机制,但它涉及到用户在自己的网络上授权自己,并向我发送一个包含用户信息的加密令牌。我处理这个问题,并在我的网络应用程序上设置了一个会话。现在我有了一组rest,它将允许移动web客户端(目前是android)从我的
浏览 0提问于2012-05-29得票数 1
2回答
我有用于多个应用程序(网页和REST )的身份验证和授权的Keycloak。根据我的理解,当使用OAuth2 authentication_code授予类型时,网页的流程如下:在这个流程中,在第二步(红色的那个)中,资源所有者登录,因为她/他被重定向到Keycloak但是,使用REST,我不知道验证和授权用户(资源所有者)的过程是什么,因为没
浏览 0提问于2021-01-24得票数 0
2回答
我有一个网页和即将就绪的移动应用程序。他们都将使用REST (用node.js编写),问题是--我如何防止用户对这些请求进行修改?很容易在浏览器中看到网络流量,以及向服务器发出的所有GET/POST请求。复制这样的请求、修改其参数和/或有效负载并将其发送到服务器似乎也非常容易。我如何确保这是我的网页或应用程序提出了请求,而不是其他人?
浏览 3提问于2016-01-30得票数 3
回答已采纳
云服务器
ICP备案
对象存储
实时音视频
云直播
腾讯云开发者
