我想使用已经存在的openid连接会话(带有mod_auth_openidc + WSO2身份服务器的Apache反向代理)访问kubernetes仪表板和API。使用配置好的刷新令牌调用info钩子,我可以成功地检索刷新令牌。使用此令牌,标识服务器(WSO2)返回id_token、一个新的访问令牌和下一个刷新令牌。虽然它在重新
浏览 0提问于2019-12-07得票数 1
2回答
我们向将要登录到第三方客户端应用程序的用户挥手。使用OAUTH2框架,客户端应用程序将重定向到我们的网站进行身份验证。根据我的理解,授权服务器将返回一个访问令牌和一个id_token (OpenID连接)。1)如果用户通过我们的身份验证并被重定向到客户端应用程序,如果他们离开客户端应用程序并在几个小时后返回到客户端应用程序,他们是否仍然需要经历整个重定向<
浏览 1提问于2017-01-09得票数 1
我有asp.net核心和身份服务器作为openid连接服务器。当令牌/会话由于不活动而过期时,我希望重定向到不同的页面,而不是授权url。有没有一种简单的方法可以使用配置或任何其他方法来实现这一点?
浏览 14提问于2020-06-16得票数 0
1回答
我希望尽可能避免在服务器上进行基于密码的身份验证。为此,我考虑使用OAuth2作为主要访问机制,允许查看受成员限制的内容。现在,我希望我的用户能够通过ssh或其他基于非url的强认证渠道向特定客户发出某种形式的授权。然后应该将这些信息提供给客户端(例如,我的网站的web接口),在那里它被用来生成OAuth2定义的访问令牌。# E.g.Some red
浏览 5提问于2017-05-16得票数 1
回答已采纳
1回答
我已经读了好几个月了,看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界:OpenID连接JWT在不使用服务器端会话和cookie的情况下使用授权代码授予,因为这个OAuth流比隐式流更安全。不要创建服务器端会话或cookie(此外,请记住我<em
浏览 0提问于2017-10-07得票数 11
回答已采纳
1回答
我正试图达到最理想的境界:
不要创建服务器端会话或cookie(此外,请记住我的cookie,以确定客户端以前是否已经过身份<
浏览 1提问于2017-10-06得票数 5
回答已采纳
为我那篇冗长的帖子道歉。在我的应用程序中,我使用了keycloak、openid、nginx、docker和react。例如,keycloak正在码头上运行( )
当我在本地主机上提到我的前台时:3000。它将我重定向到登录页面with ( ),然后在登录后,我需要从我的后端微服务中获取当前的登录用户,该服务需要使用带会话的cookie和键盘斗篷注入的X用户。
浏览 4提问于2019-10-24得票数 0
一种处理身份验证和具有授权和身份验证服务器的集中式方法。如果您在不同的应用程序中不断增长,在共享会话和第三方身份验证方法的不同地方但我进入是为了检查我每天使用<e
浏览 0提问于2022-08-18得票数 1
使用OpenID连接隐式流,授权服务器在成功身份验证后重定向到客户端。location头将包含令牌作为url片段(#id_token=xyz)。这可以防止令牌通过引用或类似的方式从用户代理泄漏到包含的资源。
但是,如果像javascript文件这样的第三方资源包含在重定向目标页面中,那么这些脚本将通过文档位置访问令牌。当包括第三方资源时,在客户端
浏览 6提问于2017-10-24得票数 0
回答已采纳
由于本地存储和会话存储都可以通过JavaScript访问,所以最好不要将身份验证JWT存储在其中任何一个中,以避免XSS攻击。既然OpenID连接2.0是在一个单独的域上执行的,那么我们如何设置一个服务器端仅包含经过身份验证的JWT的cookie呢?
用户转到您的网站,然后单击登录。用户被重定向到第三方OpenID连接<
浏览 11提问于2019-12-28得票数 1
回答已采纳
我有独立的身份验证应用程序和托管在子域上的多个spa应用程序,我希望将从身份验证应用程序登录到其他托管在子域下的应用程序中生成的JWT令牌(当用户登录时生成的)共享。我怎么能这么做?
浏览 0提问于2017-01-12得票数 10
在我们的web应用程序(ASP.NET)中,我们通过授权代码流使用OpenID连接:
授权代码是POSTed返回到我们的web应用程序中的一个页面然后,我们的web应用程序使用授权代码从身份服务器检索刷新令牌、id令牌和访问令牌。它们以cookie的</e
浏览 1提问于2018-11-12得票数 2
回答已采纳
5回答
我想知道是否应该使用协议或 +某个身份验证提供程序来进行单点登录。
如果令牌正常,则允许访问,并且应用程序知道用户id。用户执行
浏览 7提问于2010-01-09得票数 195
回答已采纳
1.方法11.1我在云目录中添加了一个用户和密码。=<password>的基本身份验证1.4使用具有访问令牌和标识令牌作为头值'authorization' Bearer <accesstoken> <identity方法2
2.1使用<oauthserverUrl>/tok
浏览 2提问于2018-10-07得票数 0
在OpenID连接中,ID令牌是一个加密签名的独立令牌,它允许资源所有者在不调用授权服务器的情况下授权访问。因此,如果授权服务器不需要验证令牌,那么如何在会话管理场景中撤销令牌?似乎唯一可以撤销的是刷新令牌,此时ID令牌将过期,用户将不得不重新身份验证。这是正确的吗?此外,<
浏览 1提问于2015-09-11得票数 2
回答已采纳
1回答
我目前正在学习OAuth 2.0和OpenID连接协议,我觉得我错过了一些东西。这是通过将用户代理重定向到授权服务器来实现的,在授权服务器中,用户向客户端应用程序授予权限(作用域)。然后,客户端应用程序接收授权代码,该授权代码可用于赎回和访问令牌,也可用于可选的ID令牌。这里我们来讨论OpenID连接。OIDC是OAuth 2.0之上的一个薄薄的
浏览 6提问于2022-11-27得票数 0
我使用ASP.NET Core2.1创建了一个Web,它使用(成功) JWT作为一种授权请求的方法。成功登录将返回一个Access Token (使用30分钟的生命)。第一次登录时,针对身份用户生成和存储一个Refresh Token,并从该API
浏览 0提问于2019-02-21得票数 0
1回答
我想知道我是否真的需要OpenID连接来在OAuth2之上提供身份验证。在我看来,如果我生成JWT (JWE)作为我的访问令牌,并将用户声明、角色/权限等存储在访问令牌中,那么就不需要OpenID连接的id令牌。资源服务器可以在每个请求上验证访问令牌。或者,我可以将访问令牌保持较小,并让它存储一个会话id,并使用cla
浏览 0提问于2015-06-17得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
