首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

从0开始构建一个Oauth2Server服务 授权范围 Scope

例如,如果您在“customer”中有一个用户,并且应用程序正在请求“admin”范围,则 OAuth 服务器不会创建具有“admin”范围的访问令牌,因为不允许该用户自己使用该范围。...按功能有选择地启用访问 范围的一个重要用途是根据所需的功能有选择地启用对用户帐户访问。例如,Google 为其各种服务(如 Google Drive、Gmail、YouTube 等)提供了一范围。...这意味着需要访问 YouTube API 的应用程序不一定也能够访问用户的 Gmail 帐户GoogleAPI 是有效使用范围的一个很好的例子。...让我们使用一个服务示例,该服务提供使用许可内容的高级功能,在本例中,该服务提供一个 API 来聚合给定区域的人口统计数据。用户使用服务时收取费用,费用根据查询区域的大小而定。...登录到使用 API 的完全不同部分的应用程序的用户希望确保此应用程序无法使用人口统计 API,因为这会导致该用户产生费用。在这种情况下,服务应该定义一个特殊的范围,比如“人口统计”。

17730

【壹刊】Azure AD B2C(一)初识

一,引言(上节回顾)   上一节讲到Azure AD的一些基础概念,以及如何运用 Azure AD 包含API资源,Azure AD 是微软提供的云端的身份标识和资源访问服务,帮助员工/用户/管理员访问一些外部资源和内部资源...Azure Active Directory B2C 也称为 Azure AD B2C,它是以服务的形式提供企业到客户的标识管理服务,用于以自定义的方式控制客户在使用 ios,android,.net,...2.2 账户   用户可以通过使用帐户登录到通过 Azure AD B2C 保护的应用程序。 但是,具有使用帐户用户无法访问 Azure 资源(例如 Azure 门户)。...使用外部标识提供者联合,可让使用者通过其现有的社交帐户或企业帐户登录,而不必仅仅出于访问你的应用程序的目的创建一个新帐户。   ...令牌是从 Azure AD B2C 终结点(例如 /token 或 /authorize 终结点)接收的。 通过这些令牌,可以访问用于验证标识以及允许访问安全资源的声明。

2.2K40
您找到你想要的搜索结果了吗?
是的
没有找到

Windows日志取证

可信域信息已被修改 4717 系统安全访问权限已授予帐户 4718 系统安全访问已从帐户中删除 4719 系统审核策略已更改 4720 已创建用户帐户 4722 用户帐户已启用 4723...4789 基本应用程序已删除 4790 已创建LDAP查询 4791 基本应用程序已更改 4792 LDAP查询已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码...Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制 4822 NTLM身份验证失败,因为该帐户是受保护用户的成员 4823 NTLM身份验证失败,因为需要访问控制限制 4824...使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户的成员 4825 用户被拒绝访问远程桌面。...6273 网络策略服务器拒绝访问用户 6274 网络策略服务器放弃了对用户的请求 6275 网络策略服务器放弃了用户的记帐请求 6276 网络策略服务器隔离了用户 6277 网络策略服务器授予用户访问权限

2.6K11

Windows日志取证

可信域信息已被修改 4717 系统安全访问权限已授予帐户 4718 系统安全访问已从帐户中删除 4719 系统审核策略已更改 4720 已创建用户帐户 4722 用户帐户已启用 4723...4789 基本应用程序已删除 4790 已创建LDAP查询 4791 基本应用程序已更改 4792 LDAP查询已删除 4793 密码策略检查API已被调用 4794 尝试设置目录服务还原模式管理员密码...Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制 4822 NTLM身份验证失败,因为该帐户是受保护用户的成员 4823 NTLM身份验证失败,因为需要访问控制限制 4824...使用DES或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户的成员 4825 用户被拒绝访问远程桌面。...6273 网络策略服务器拒绝访问用户 6274 网络策略服务器放弃了对用户的请求 6275 网络策略服务器放弃了用户的记帐请求 6276 网络策略服务器隔离了用户 6277 网络策略服务器授予用户访问权限

3.5K40

从 Azure AD 到 Active Directory(通过 Azure)——意外的攻击路径

我还发现了一个似乎相关的 API,这意味着攻击者无需访问 Azure AD 门户即可执行此操作。...或者 GA 会话令牌被盗,因为 GA 在其常规用户工作站上使用其 Web 浏览器(已被盗用)。 2. 攻击者使用帐户进行身份验证,并利用帐户权限创建另一个用于攻击的帐户使用受感染的帐户。...无法在 Azure AD 中检测此配置 - 没有可查询帐户的属性。 我能确定的唯一明确检测是通过监视 Azure RBAC 用户访问管理员”成员身份是否存在意外帐户。...检测要点: 无法使用 PowerShell、门户或其他方法检测 Azure AD 用户帐户上的此设置。...确保全局管理员仅使用管理员工作站或至少使用安全的 Web 浏览器配置。 监视 Azure RBAC 角色“用户访问管理员”的成员资格更改。

2.5K10

Windows事件ID大全

-- LDAP查询已删除 4793 ----- 密码策略检查API已被调用 4794 ----- 尝试设置目录服务还原模式管理员密码 4797 ----...----- NTLM身份验证失败,因为该帐户是受保护用户的成员 4823 ----- NTLM身份验证失败,因为需要访问控制限制 4824 ----- 使用DES...或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户的成员 4825 ----- 用户被拒绝访问远程桌面。...IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory IPsec策略的缓存副本 5467 ----- PAStore引擎轮询Active...---- 网络策略服务器授予用户完全访问权限,因为主机符合定义的健康策略 6279 ----- 由于重复失败的身份验证尝试,网络策略服务器锁定了用户帐户 6280 ---

17.4K62

使用Azure AD B2C为ASP.NET Core 设置登录注册

一,引言  上次关于Azure AD B2C 讲到一些概念,有介绍到,Azure AD B2C 也是一种身份验证的解决方案,但是它运行客户使用其首选的社交,企业或者本地账户标识对应用程序和API进行单一登录访问...今天,介绍如何使用 Azure Active Directory B2C (Azure AD B2C) 在 ASP.NET Web 应用程序中进行用户登录和注册。...应用程序可以使用 Azure AD B2C 通过开放式标准协议对社交帐户、企业帐户和 Azure Active Directory 帐户进行身份验证。...不应该使用user flow 来验证这个类型的用户。...下一篇继续介绍如何使用Azure AD B2C 保护的API资源。 代码稍等,我会整理一下,上传到github中 版权:转载请在文章明显位置注明作者及出处。如发现错误,欢迎批评指正。

1.5K20

Google Workspace全域委派功能的关键安全问题剖析

: 启用了全域委派权限后,恶意内部人员可以冒充Google Workspace域中的用户使用访问令牌来验证API请求。...Google Workspace应用是一基于云的协作工具,各组织可以使用Google Workspace并通过以下各种工具来提高工作效率和沟通能力: 电子邮件 日历 文件存储与共享 团队沟通 工作流程自动化...需要委派的 GCP 服务帐户才能创建与 Google 服务交互、访问 Google API、处理用户数据或代表用户执行操作的应用程序。 什么是服务账户?...服务帐户是GCP中的一种特殊类型帐户,代表非人类实体,例如应用程序或虚拟机。服务账户将允许这些应用程序进行身份验证并于Google API交互。...如果请求有效并且服务帐户已被授予必要的全域委派权限,则令牌节点将使用访问令牌进行响应,应用程序可以使用访问令牌在请求的范围限制内跨域访问用户数据; 3、API访问:应用程序在 API 请求中包含访问令牌作为身份认证

12110

非官方Mimikatz指南和命令参考

MISC::AddSid –添加到用户帐户的SIDHistory.第一个值是目标帐户,第二个值是帐户/名称(或SID).移至SID:自2016年5月6日起修改....AD计算机帐户的上下文中运行的服务.与kerberos::list不同,sekurlsa使用内存读取,并且不受密钥导出限制.sekurlsa可以访问其他会话(用户)的票证....(PAC),并使用域的Kerberos服务帐户(KRBTGT)进行签名和加密,该帐户只能由KRBTGT帐户打开和读取..../user-要模拟的用户名 /groups(可选)–用户所属的RID(第一个是主组).添加用户或计算机帐户RID以获得相同的访问权限.默认:知名管理员的513,512,520,518,519(下面列出.../rc4 –服务(计算机帐户用户帐户)的NTLM hash 白银票据默认: 域用户SID:S-1-5-21 -513 域管理员SID:S-1-5-21 -

2.2K20

DevOps工具介绍连载(20)——Google App Engine

该环境包括以下特性: 动态网络服务,提供对常用网络技术的完全支持 持久存储有查询、分类和事务 自动扩展和载荷平衡 用于对用户进行身份验证和使用 Google 帐户发送电子邮件的 API 一种功能完整的本地开发环境...应用程序使用户可以通过 Google 帐户登录,并可以访问与该帐户关联的电子邮件地址和可显示的名称。使用 Google 帐户使用户可以更快地开始使用您的应用程序,因为用户可以不需要创建新帐户了。...用户 API 还可告知应用程序当前用户是否是应用程序的注册管理员。这样便可以轻松实现您站点上仅用于管理的区域。 有关与 Google 帐户集成的详细信息,请参阅用户 API 参考。...提供了以下 API访问这些服务: 网址获取 应用程序可以使用 App Engine 的网址获取服务访问互联网上的资源,例如网络服务或其他数据。...此外,Google提供了访问一个Datastore、Google用户帐号、URL fetch和邮件服务API

2.6K10

ATT&CK视角下的红蓝对抗之Windows访问控制模型

假设当用户登录时,操作系统会对用户帐户名和密码进行身份验证, 当登录成功时,系统会自动分配访问令牌(Access Token),访问令牌包含安全标识符,用于标识用户帐户以及该用户所属的任何帐户,当我们去创建一个进程也就是访问一个资源...假设在文件共享的时候,服务器需要用户令牌来验证用户的权限,而服务无法直接获取用户访问令牌,因为该令牌是锁死在内存中无法访问的,所以它就会需要生成一个模拟令牌。...502:表示相对标识符RID(密钥分发中心 KDC服务使用的KRBTGT帐户)。...1-5-domain-515Domain Admins一个全局,包括已加入域的所有客户端和服务器S-1-5-7Anonymous代表匿名登录的S-1-5-18Local SYSTEM操作系统使用帐户...运行 Active Directory 证书服务的计算机是该的成员。DOMAIN_GROUP_RID_SCHEMA_ADMINS518架构管理员的

17010

Active Directory教程3

msDS-NeverRevealGroup 包含密码未缓存于 RODC 上的用户或计算机帐户的独有名称(例如,域管理员帐户绝不应将其密码哈希缓存于 RODC 上)。...域管理员使用 Active Directory 用户和计算机 MMC 管理单元预先在域中创建 RODC 计算机帐户,如下图中所示。...帐户操作员 Administrators 备份操作员 证书服务 DCOM 访问 加密操作员 分布式 COM 用户 事件日志读取器 Guests IIS_IUSRS 传入林信任构建器...终端服务器许可证服务用户 Windows 授权访问 RODC 特性 由于 RODC 是只读的,并且其他域控制器不从其进行复制,它们会出现一些异常的行为。...如果发起 LDAP 更新的应用程序对参照操作处置不当,应用程序将无法使用

1.6K10

Cloudera安全认证概述

授权使用多种方式处理,从访问控制列表(ACL)到HDFS扩展ACL,再到使用Ranger的基于角色的访问控制(RBAC)。 几种不同的机制一起工作以对集群中的用户服务进行身份验证。...注意 如果无法在Active Directory KDC中使用所需特权创建Cloudera Manager管理员主体,则需要手动创建CDH服务主体。...删除Cloudera Manager角色或节点需要手动删除关联的Active Directory帐户。Cloudera Manager无法从Active Directory删除条目。...授权用户–由需要访问集群的所有用户组成的 HDFS管理员–将运行HDFS管理命令的用户 HDFS超级用户–需要超级用户特权(即对HDFS中所有数据和目录的读/写访问权限)的用户 不建议将普通用户放入...相反,管理员将问题升级到的帐户应成为HDFS超级用户的一部分。

2.8K10

CDP私有云基础版用户身份认证概述

授权有多种方式处理,从访问控制列表(ACL)到HDFS扩展的ACL,再到使用Ranger的基于角色的访问控制(RBAC)。 几种不同的机制一起工作以对集群中的用户服务进行身份验证。...注意 如果无法在Active Directory KDC中使用所需特权创建Cloudera Manager管理员主体,则需要手动创建CDH服务主体。...删除Cloudera Manager角色或节点需要手动删除关联的Active Directory帐户。Cloudera Manager无法从Active Directory删除条目。...授权用户–由需要访问集群的所有用户组成的 HDFS管理员–将运行HDFS管理命令的用户 HDFS超级用户–需要超级用户特权(即对HDFS中所有数据和目录的读/写访问权限)的用户 不建议将普通用户放入...相反,管理员将问题升级到的帐户应成为HDFS超级用户的一部分。

2.4K20

攻击 Active Directory 托管服务帐户 (GMSA)

当我们在 Trimarc 执行 Active Directory 安全评估时,我们发现在 AD 环境中托管服务帐户使用有限。应尽可能使用 GMSA 将用户帐户替换为服务帐户,因为密码将自动轮换。...管理服务帐户 (GMSA) 创建用作服务帐户用户帐户很少更改其密码。托管服务帐户 (GMSA)提供了一种更好的方法(从 Windows 2012 时间框架开始)。密码由 AD 管理并自动更改。...管理服务帐户 (GMSA) 的要点: 由 AD 管理的 GMSA 密码。 托管 GMSA 服务帐户的计算机从 Active Directory 请求当前密码以启动服务。...使用此密码哈希,我们可以通过哈希 (PTH) 来破坏 AD。 但是,如果我们无法访问服务器本身怎么办?...使用 GMSA 密码访问入侵帐户 我们知道有一个配置了获取 GMSA 密码的权限,让我们来看看。

1.9K10

使用服务账号请求Google Play Developer API

Developer API,你可以选择OAuth 客户端ID或服务帐号,这里推荐使用 服务帐号 创建一个服务帐户: 点击add创建服务帐户。...在服务帐户的详细信息,键入一个名称,ID和服务帐户的描述,然后单击创建并继续。 可选:在授予此服务帐户访问到项目中,选择IAM角色授予服务帐户。(我理解应该是必选) 点击继续。...可选:在授予用户访问服务帐户,添加允许使用和管理服务帐户用户。(我理解也是可选,我没选) 点击完成。 点击add创建键,然后单击创建。...如需使用 Google Play 结算服务 API,您必须授予以下权限: 查看财务数据、订单和用户取消订阅时对调查问卷的书面回复 管理订单和订阅 为服务账号创建密钥 密钥创建成功,会提示你保存到本地...中间大概隔了1~2个小时 参考 Google Play Developer API 使用入门 如何创建服务账号?

2.5K30

Kubernetes 中的用户与身份认证授权

假设一个独立于集群的服务由以下方式管理普通用户: 由管理员分发私钥 用户存储(如 Keystone 或 Google 帐户) 带有用户名和密码列表的文件 K8s没有代表普通用户帐户的对象,无法通过...通常使用至少以下两种认证方式: 服务帐户的 Service Account Token 至少一种其他的用户认证的方式 当启用了多个认证模块时,第一个认证模块成功认证后将短路请求,不会进行第二个模块的认证...API server 不会保证认证的顺序。 system:authenticated 包含在所有已验证用户列表中。...已签名的JWT可以用作承载令牌,以验证为给定的服务帐户。有关如何在请求中包含令牌,请参见上面的内容。通常,这些令牌被装入到pod中,以便在集群内对API Server进行访问,但也可以从集群外部使用。...用户、Service Account 和匿名 PART User 外部用户是 K8s 中非常常见的一种访问者身份,通常用于从 K8s 之外来访问集群中的资源。

1.5K10

Cloudera访问授权概述

例如,可以将Cloudera CDH集群配置为利用组织的Active Directory(或其他LDAP可访问目录)实例中存在的用户帐户帐户。 本指南后面将讨论各种可能的配置和集成。...可以使用Apache HDFS ACL将细粒度权限应用于HDFS文件,以设置特定命名用户和命名的权限。 Apache Ranger通过管理访问控制,并确保跨集群服务进行一致的策略管理。...POSIX权限 在Hadoop集群上运行的大多数服务,例如命令行界面(CLI)或使用Hadoop API的客户端应用程序,都可以直接访问HDFS中存储的数据。...像HDFS权限一样,本地用户帐户必须在每个执行服务器上都存在,否则,除超级用户帐户外,队列将无法使用。 Apache HBase还使用ACL进行数据级授权。...HBase ACL被授予和撤销给用户。类似于HDFS权限,本地用户帐户是正确授权所必需的。

1.4K10

API网关 APIG,调用已发布的API,错误码0605

基于API网关的电话号码归属地查询,根据文档操作,最后居然没有成功。 在通过API网关开放电话号码归属地查询服务前,您需要获取登录华为云控制台的用户名和密码,并确保已实名认证此用户。.... 403 IAM用户不允许访问API 检查用户是否被黑白名单限制 APIG.0303 Incorrect app authentication information. 401 APP认证信息错误 检查请求的方法...APIG.0304 The app is not authorized to access the API. 403 APP不允许访问API 检查APP是否授权访问API APIG.0305 Incorrect...APIG.0310 The project is unavailable. 403 project不可使用 使用其他project访问 APIG.0311 Incorrect debugging authentication...改用支持的协议(HTTP/HTTPS)访问 APIG.0608 Failed to obtain the admin token. 500 无法获取管理帐户 联系技术支持 APIG.0609 The VPC

1.8K00

kerberos认证下的一些攻击手法

cobalt strike来利用黄金票据 填入必须值 就可以了 在TGT的使用期限超过20分钟之前,域控制器KDC服务不会验证TGT中的用户帐户,这意味着我们可以使用已禁用/删除的帐户,甚至可以使用Active...Ť / user ---伪造的用户名 / groups(可选)---用户所属的RID(第一是主组)。添加用户或计算机帐户RID以接收相同的访问权限。...如果攻击者无法访问AD数据库(ntds.dit文件),则无法获取到KRBTGT帐户密码。 2.建议定期更改KRBTGT密码。更改一次,然后让AD备份,并在12到24小时后再次更改它。...如果可能,请使用管理的服务帐户,这些帐户具有随机的复杂密码(> 100个字符),并由Active Directory自动管理。...默认情况下,Active Directory中需要预身份验证。但是,可以通过每个用户帐户上的用户帐户控制设置来控制此设置。

3K61
领券