开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

请求无效，当我指向我的URL http://localhost:59185/api/values时...希望取回我的访问令牌，而不是得到错误

请求无效是指在向服务器发送请求时，服务器无法理解或处理该请求。当你指向URL http://localhost:59185/api/values时，你希望取回你的访问令牌，而不是得到错误。

首先，根据提供的URL，可以看出你正在本地主机上运行一个Web API服务，该服务的路径为/api/values。通过这个路径，你可能是想获取某个资源的值或执行某个操作。

然而，根据提供的信息，我们无法确定你的具体需求以及该API的具体实现细节。因此，下面是一些可能导致请求无效的原因和解决方法：

URL错误：请确保URL地址正确无误，包括主机名、端口号、路径等。在本地环境中，使用localhost表示本机，59185是一个特定的端口号。
授权问题：如果你尝试访问需要授权的资源或执行需要身份验证的操作，你可能需要在请求中包含有效的访问令牌或身份验证凭据。
API不存在：请确保你正在请求的API路径正确，且对应的API在服务器上存在。
请求格式不正确：根据你使用的HTTP方法（例如GET、POST、PUT、DELETE等），请确保请求的格式和参数正确。例如，对于GET请求，可以使用查询字符串或路径参数来传递参数。
服务器错误：请求无效也可能是由于服务器出现了内部错误。在这种情况下，你可以查看服务器的日志或联系服务器管理员以获取更多信息。

需要注意的是，根据提供的要求，我们无法直接提及云计算品牌商的相关产品和链接。但是，无论你使用哪个云计算平台，都可以通过阅读其文档和支持指南来了解如何正确地发送请求并获取访问令牌。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

flask 应用程序编程接口（API）最后一节

分级系统分级系统原则是说当客户端需要与服务器通信时，它可能最终连接到代理服务器而不是实际的服务器。...对象查询的get_or_404()方法的英文以前见过的get()方法的一个非常有用的变行业释义体育，如果用户存在，报道查看它定给id的对象，当ID不存在时，它会中止请求并向客户端返回一个404错误，而不是返回...使用令牌时，有一个策略可以立即使令牌失效总是总是一件好事，而不是仅依赖终止日期。这是一个经常被替代的安全最佳实践。...如果您直接对上面列出的受令牌保护的端点发起请求，导致得到一个401错误。为了成功访问，您需要添加Authorization标题，其值是请求/ api / tokens获得的令牌的值。...pC1Nu9wwyNt8VCj1trWilFdFI276AcbS" API友好的错误消息你是否还记得，在本章的前部分，当我要求你用一个无效的用户URL从浏览器发送一个API请求时发生了什么？

5K1 0

架构必备「RESTful API」设计技巧经验总结

也就是说，我不需要为了得到类似的功能和结果而花费精力自己去创建一个与众不同的东西，上面提到的海明威的话正是代码重用在文学上的例子。...对于POST，PUT或PATCH的成功响应消息，应该返回更新后的对象，而不是只返回一个null。点击这里有一篇http1.0和2.0的对比。...对于鉴权错误 401：访问令牌没有提供，或者无效。 403：访问令牌有效，但没有权限。对于标准状态 200：所有的都正确。 500：服务器内部抛出错误。...我们希望让客户端应用程序能够阻止任何无效的电子邮件或密码太短的请求，但外部人员可以像我们的客户端应用程序一样在需要的时候直接访问API。如果email字段丢失，则返回400。...但是，如果API希望签订一个不同的“密钥”，JWT就会被取消，但是这将使所有当前发出的令牌全部无效，但因为这些令牌是短生命期的，所以这并没有关系。

2K3 0

「应用安全」OAuth和OpenID Connect的全面比较

如果这不是错误，则必须就动态客户端注册注册的客户端应用程序的客户端类型达成共识。但是，我无法在相关规范中找到此类信息。无论如何，我认为在为客户端应用程序定义数据库表时，应该存在客户端类型的列。...本机客户端必须仅使用自定义URI方案或URL使用http：scheme注册redirect_uris，并使用localhost作为主机名。...自包含样式中的繁琐之处在于，每次请求访问令牌撤销时，我们必须添加表示“已撤销”的记录，并且必须保留此类记录，直到访问令牌到期为止。...当我听到这个故事时，我猜想授权服务器会发出没有唯一标识符的自包含样式的访问令牌。...错误时参数名称错误以下OAuth实现在返回错误代码时使用errorCode而不是error：线 10.代码交换的证明密钥 10.1。PKCE是必须的你知道PKCE吗？

2.4K6 0

从0开始构建一个Oauth2Server服务发起认证请求

要记住的是，访问令牌对客户端是不透明的，应该只用于发出 API 请求而不是解释它们自己。...“expires_in”值是访问令牌有效的秒数。访问令牌的有效期取决于您使用的服务，并且可能取决于应用程序或组织自己的策略。您可以使用此时间戳来抢先刷新您的访问令牌，而不是等待带有过期令牌的请求失败。...有些人喜欢在当前访问令牌到期前不久获得一个新的访问令牌，以保存 API 调用失败的 HTTP 请求。...您可以检查此特定错误消息，然后刷新令牌并再次尝试请求。如果您使用的是基于 JSON 的 API，那么它可能会返回带有错误的 JSON 错误响应invalid_token。...，它可以使用之前收到的刷新令牌向令牌端点发出请求，并将取回可用于重试原始请求的新访问令牌。

1543 0

实用，完整的HTTP cookie指南

" }) 它还必须在第二个请求时出现，以允许将cookie传输回后端 fetch("http://localhost:5000/api/cities/", { credentials:...但是如果这是你把url改成http协议访问其他页面，你就需要重新登录了，因为这个cookie不能在http协议中发送。...也就是说，我在浏览器中访问该URL，并且如果我访问相同的URL或该站点的另一个路径（假设Path为/），则浏览器会将cookie发送回该网站。...想要针对API进行身份验证的前端应用程序的典型流程如下：前端将凭证发送到后端后端检查凭证并发回令牌前端在每个后续请求上带上该令牌这种方法带来的主要问题是：为了使用户保持登录状态，我将该令牌存储在前端的哪个地方...如果你确实要使用JWT而不是坚持使用基于会话的身份验证并扩展会话存储，则可能要使用带有刷新令牌的JWT来保持用户登录。总结自1994年以来，HTTP cookie一直存在，它们无处不在。

5.9K4 0

使用微服务架构思想，设计部署OAuth2.0授权认证框架

，而不是业务API问题。...在这种模式中，用户必须把自己的密码给客户端，但是客户端不得储存密码。客户端模式（client credentials）--指客户端以自己的名义，而不是以用户的名义，向"服务提供商"进行认证。...由于资源服务器跟授权服务器并不是在同一台服务器，所以资源服务器必须检查每次客户端请求的访问令牌是否合法，检查的方法就是将客户端的令牌提取出来发送到授权服务器去验证，得到这个令牌对应的用户信息，包括登录用户名和角色信息等...接着使用浏览器打开一个API地址： http://localhost:62424/api/values ?...然而为了优化HttpClient的访问效率，我们对同一个被代理访问的资源服务器使用了同一个HttpClient对象，而不是对同一个浏览器的请求使用同一个HttpClient对象。

10.9K3 2

REST API面临的7大安全威胁

定义适当的请求大小限制，并拒绝HTTP响应状态为413的请求实体太大而超过该限制的请求 2....即使禁用了用于应用程序身份验证的API密钥(或访问令牌)，也可以通过标准浏览器请求轻松地重新获取密钥。因此，使当前的访问令牌无效不是一个长期的解决方案。...当超过速率时，至少暂时阻塞API键的访问，并返回429(太多请求)HTTP错误代码。如果您开始构建新的REST API，请检查具有许多面向安全特性的web服务器。 3....打破访问控制访问控制，在某些情况下称为授权，是web软件允许某些人而不是每个人访问功能和内容的方式。缺少或不充分的访问控制可以使攻击者获得对其他用户帐户的控制、更改访问权限、更改数据等。...攻击的成功依赖于完整性和逻辑验证机制错误，其利用可能导致其他后果，包括XSS、SQL注入、文件包含和路径公开攻击。您应该仔细验证接收到的URL参数，以确保数据表示来自用户的有效请求。

2K2 0

从0开始构建一个Oauth2Server服务 AccessToken

client-credentials 客户凭证当应用程序请求访问令牌以访问其自己的资源而不是代表用户时，将使用客户端凭据授权。...不成功的响应如果访问令牌请求无效，例如重定向 URL 与授权期间使用的不匹配，则服务器需要返回错误响应。...invalid_grant– 授权代码（或密码授予类型的用户密码）无效或已过期。如果授权授予中提供的重定向 URL 与此访问令牌请求中提供的 URL 不匹配，这也是您将返回的错误。...invalid_scope– 对于包含范围（密码或 client_credentials 授权）的访问令牌请求，此错误表示请求中的范围值无效。...返回错误响应时有两个可选参数，error_description和error_uri. 这些旨在为开发人员提供有关错误的更多信息，而不是为了向最终用户显示。

2255 0

HTTP cookie 完整指南

" }) 它还必须在第二个请求时出现，以允许将cookie传输回后端 fetch("http://localhost:5000/api/cities/", { credentials:...但是如果这是你把url改成http协议访问其他页面，你就需要重新登录了，因为这个cookie不能在http协议中发送。...也就是说，我在浏览器中访问该URL，并且如果我访问相同的URL或该站点的另一个路径（假设Path为/），则浏览器会将cookie发送回该网站。...想要针对API进行身份验证的前端应用程序的典型流程如下：前端将凭证发送到后端后端检查凭证并发回令牌前端在每个后续请求上带上该令牌这种方法带来的主要问题是：为了使用户保持登录状态，我将该令牌存储在前端的哪个地方...如果你确实要使用JWT而不是坚持使用基于会话的身份验证并扩展会话存储，则可能要使用带有刷新令牌的JWT来保持用户登录。总结自1994年以来，HTTP cookie一直存在，它们无处不在。

4.2K2 0

设计 API 的 22 条最佳实践，实用！

不要在URL中通过认证令牌这是一种非常糟糕的做法，因为url经常被记录，而身份验证令牌也会被不必要地记录。不应该： GET /shops/123?...PUT /shops/2/products/31：应该更新产品31的信息，只在resource-URL上使用PUT，而不是集合。...错误当客户端向服务发出无效或不正确的请求，或向服务传递无效或不正确的数据，而服务拒绝该请求时，就会出现错误，或者更具体地说，出现服务错误。...例子包括无效的身份验证凭证、不正确的参数、未知的版本id等。当由于一个或多个服务错误而拒绝客户端请求时，一定要返回4xx HTTP错误代码。考虑处理所有属性，然后在单个响应中返回多个验证问题。...希望你学到了一些东西。我是小富～，如果对你有用在看、关注支持下，咱们下期见~

1.3K1 0

挖洞经验 | 利用密码重置功能实现账号劫持

考虑到这一点，我想我应该测试一下该前端应用是否存在Blind XSS漏洞，于是我在登录的“名字”和“姓氏”字段中提交了有效的XSS测试载荷，当我单击“提交”按钮时，收到以下错误消息，这让我感到意外。...通常，出现这类错误响应信息后，我会第一时间想到用Sqlmap来测试一下注入漏洞。但遗憾的是，可能因为不能使用同一个邮箱两次注册账号，此处发起的账号注册式的SQL注入请求没能成功响应。...另外，在Sqlmap中存在一个选项设置，可以在账号注册需要的邮箱地址中添加一个数字，形成特殊的注册请求，但是我发现手动来做速度会更快。就这样，我反反复复试来试去，最终也只能得到一些无效的语法响应。...而valid_user_address@company.com是我征求公司获取的有效公司邮箱地址。...上述抄送命令提交之后，我立即查看了我的邮箱me@me.com，看看是否有某种密码重置令牌或其它可进行密码重置的东东，当然，我希望这种重置机制最好是没有其它类型的双重验证（2FA）。

1.1K2 0

《Learning Scrapy》（中文版）第9章使用Pipelines

ES不需要配置，因为它根据提供的第一个文件，进行模式（字段类型）自动检测的。通过访问http://localhost:9200/properties/，我们可以看到它自动检测的映射。...如果发生错误，这个方法会扔出例外，Scrapy会向我们报告。...应用Scrapy的高性能引擎，进行缓存、限制请求就很必要了。我们可以在Geocoder API的文档，查看它的限制，“每24小时，免费用户可以进行2500次请求，每秒5次请求”。...最后，如果我们访问http://localhost:9200/properties/property/_search，以检查ES中的房子，我们可以看到包括地点的记录，例如{..."...从性能上来讲，我们看到GeoPipeline引发的初始行为消失了。事实上，当我们开始使用内存，我们绕过了每秒只有5次请求的API限制。

1.4K2 0

微服务系列：通过Kong网关给API限流

在固定的时间间隔内，向令牌桶中添加令牌。当请求到达时，需要从桶中获取一个令牌。如果令牌可用，请求将被处理；否则，请求将被拒绝。令牌桶算法可以实现精确的速率限制，并且可以根据需要调整令牌生成速率。...在Kong网关中，限流功能是通过配置rate-limiting插件来实现的。当客户端请求API时，Kong网关会检查已配置的限流规则。根据这些规则，如果请求速率超过限制，请求将被阻止或拒绝。3....Kong网关的限流分类Kong网关提供了两种类型的限流：1. 令牌桶算法：该方法使用一个令牌桶，在请求速率增加时分配令牌，并在速率降低时回收令牌。...config.policy=local4.1.2 验证浏览器访问URL 5次后，即可看到error报错，效果得到验证4.1.3 删除规则首先查找到上面规则的ID，然后调用API删除# 查找插件ID[root...v1、v2接口，会发现v1会被限流、v2没有被限流，说明service级别的限流仅对service生效而不是全局生效。

8532 1

和*的区别记不住？我的答案保你终身难忘

api PathInfo:/demo1 访问http://localhost:8080/appcontext/apiapi/demo1，控制台输出（匹配的/*：收到请求：/appcontext/apiapi...http://localhost:8080/appcontext/api/demo1，结果404，因为没有后缀嘛；访问http://localhost:8080/appcontext/api/demo1...访问http://localhost:8080/appcontext，控制台打印：收到请求：/appcontext/ ServletPath:/ PathInfo:null 访问http://localhost...关于pathInfo：pathInfo只有当Servlet是路径匹配时，才有值。其它情况永远为null URL匹配注意事项 Servlet对URL的匹配既不是Ant风格，也不是Regex。...据此现象就出现了：/不拦.jsp请求而/*拦截（/*的范围比/大）这种“错误”言论。

1.1K5 1

独家 | 提升API设计技能的22个最佳实践（附链接）

你是否曾对处处都像猜谜游戏一样的糟糕API感到生气, 好吧我就曾有过这种体会。在微服务架构下，我们必须对后端API设计遵循一致性。...PUT /shops/2/products/31 ，应该更新产品 31 的信息，只在资源 URL 上使用 PUT，而不是集合URL。...错误当客户端向服务器发出无效/不正确的请求，或者传输了无效/不正确的数据，而服务器拒绝该请求时，就会报错，具体来说是服务器错误。例如无效的身份验证凭据、错误的参数、未知的版本 ID 等。...由于一个或多个服务错误而拒绝客户端请求时，请务必返回 4xx HTTP 错误代码。考虑处理所有属性，然后在单个响应中返回多个验证问题。 22....我希望你从中学到一些东西。祝你今天愉快！

5385 0

22条API设计的最佳实践

对CRUD函数使用HTTP方法 18. 在嵌套资源的URL中使用关系 19. CORS（跨源资源共享） 20. 安全 21. 错误 22....不要在URL中通过认证令牌这是一种非常糟糕的做法，因为url经常被记录，而身份验证令牌也会被不必要地记录。不应该： GET /shops/123?...PUT /shops/2/products/31：应该更新产品31的信息，只在resource-URL上使用PUT，而不是集合。...错误当客户端向服务发出无效或不正确的请求，或向服务传递无效或不正确的数据，而服务拒绝该请求时，就会出现错误，或者更具体地说，出现服务错误。...例子包括无效的身份验证凭证、不正确的参数、未知的版本id等。当由于一个或多个服务错误而拒绝客户端请求时，一定要返回4xx HTTP错误代码。考虑处理所有属性，然后在单个响应中返回多个验证问题。

1.2K2 0

网络安全之【XSS和XSRF攻击】

场景一：当我登录a.com后，我发现它的页面某些内容是根据url中的一个叫content参数直接显示的，猜测它测页面处理可能是这样，其它语言类似： <%@ page language="java"contentType...b.com，b.com是我搭建的网站，当我的网站接收到该信息时，我就盗取了Tom在a.com的cookie信息，cookie信息中可能存有登录密码，攻击成功！...="http://www.baidu.com"</script>在展现时浏览器会对这些字符转换成文本内容显示，而不是一段可执行的代码。...例如，一论坛网站的发贴是通过 GET 请求访问，点击发贴之后 JS 把发贴内容拼接成目标 URL 并访问： http://example.com/bbs/create_post.php?...无论是普通的请求令牌还是验证码，服务器端验证过一定记得销毁。忘记销毁用过的令牌是个很低级但是杀伤力很大的错误。

1.4K3 1

OAuth2.0 OpenID Connect 一

考虑因素包括应用程序的类型（如基于 Web 或本机移动应用程序）、您希望如何验证令牌（在应用程序中或在后端）以及您希望如何访问其他身份信息（进行另一个 API 调用或拥有它直接编码成令牌）。...许多 OIDC 实施者也会将 JWT 用于访问和刷新令牌，但这不是由规范规定的。 Access Token 访问令牌用作不记名令牌。持有者令牌意味着持有者无需进一步识别即可访问授权资源。...因此，保护不记名令牌非常重要。如果我能以某种方式获得并“携带”你的访问令牌，我就可以伪装成你。这些令牌通常具有较短的生命周期（由其到期决定）以提高安全性。...通常，刷新令牌将长期存在，而访问令牌将是短暂的。这允许在必要时可以终止的长期会话。...这是一个典型的场景：用户登录并取回访问令牌和刷新令牌应用程序检测到访问令牌已过期应用程序使用刷新令牌获取新的访问令牌重复 2 和 3，直到刷新令牌过期刷新令牌过期后，用户必须重新进行身份验证

3533 0

Spring Security---Oauth2详解

他的书包放在自习室了，我要帮他取一下。” 第二步（验证资源拥有者）：我此时将信将疑，于是让家长等一下，同时拨通了李小明视频，李小明向我确认，的确有这回事。...给出的理由是：Spring Security作为框架不应该提供产品级别的支持说白了我们Spring社区的框架都是为了开发者而存在的，认证服务器是一个产品，我们不是商业机构，不做产品。...用户授权之后直接向回调地址响应accessToken，而不是授权码code。省去了使用授权码code再去申请accessToken的步骤。...下面我们使用AccessToken访问资源。通过HTTP协议的请求头携带AccessToken HTTP请求头的Key是authorization，固定写法。...访问资源的时候都是通过HTTP请求头携带"资源访问令牌" "资源访问令牌"需要被验证通过，才能访问系统资源 1.2.不同点在JWT的实现中，我们自己写了一个Controller进行用户的登录认证，

4.3K1 0

OAuth 详解什么是OAuth 2.0 隐式流, 已经不推荐了吗？

那么，您是否应该立即将所有应用程序切换为使用 PKCE 而不是隐式流？可能不会，这取决于你的风险承受能力。但在这一点上，我绝对不建议使用隐式流程创建新应用程序。...使用授权码获取访问令牌此应用程序将需要验证该state值是否与它在开始时生成的值相匹配，然后将授权代码交换为访问令牌。为此，我们需要添加更多辅助函数。...但是由于我们没有此 JavaScript 应用程序的客户端机密，因此我们将在发出此请求时发送 PKCE 代码验证程序，以确保只有请求代码的应用程序才能将其交换为访问令牌。...，如果是则显示给用户检查授权服务器是否返回授权码，并将其交换为访问令牌向令牌端点发送 POST 请求，其中包括code_verifier它在上一步中创建的参数更新 UI 以指示错误消息或显示返回的访问令牌...您可以运行以下命令在端口 8080 上启动 Web 服务器： php -S localhost:8080 您现在可以在浏览器中访问http://localhost:8080/，您将看到登录链接。

2484 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭