HTTP请求未经授权，客户端身份验证方案为“匿名”。

HTTP请求未经授权，客户端身份验证方案为“匿名”是指客户端在发送HTTP请求时未提供有效的身份验证信息，以验证其身份和权限。在这种情况下，服务器无法确定客户端的身份，因此无法对请求进行授权。

为了确保安全性和数据的保护，常见的身份验证方案包括基本身份验证、摘要身份验证、Bearer令牌身份验证、OAuth身份验证等。这些方案可以通过在HTTP请求头中添加相应的身份验证信息来验证客户端的身份。

基本身份验证是最简单的身份验证方案之一，它要求客户端在请求头中使用Base64编码的用户名和密码进行身份验证。然而，由于其安全性较低，通常不建议在生产环境中使用。

摘要身份验证通过使用摘要算法对用户名、密码和其他参数进行加密，以提高安全性。它在每个请求中都会生成一个随机的摘要值，服务器将验证客户端提供的摘要值是否匹配。

Bearer令牌身份验证是一种基于令牌的身份验证方案，客户端在请求头中提供一个令牌，服务器根据令牌来验证客户端的身份和权限。这种方案通常用于API的身份验证。

OAuth身份验证是一种开放标准的身份验证和授权协议，允许客户端通过授权服务器获取访问资源服务器的权限。它通过令牌的方式进行身份验证和授权，适用于第三方应用程序和服务的身份验证。

对于未经授权的HTTP请求，服务器通常会返回401 Unauthorized状态码，提示客户端需要进行身份验证。客户端可以根据服务器返回的身份验证要求，选择合适的身份验证方案进行身份验证，并重新发送请求。

腾讯云提供了一系列与身份验证和安全相关的产品和服务，例如腾讯云访问管理（CAM）、腾讯云安全组、腾讯云密钥管理系统（KMS）等。这些产品和服务可以帮助用户实现身份验证、访问控制和数据加密等安全需求。

更多关于腾讯云身份验证和安全产品的信息，您可以访问腾讯云官方网站：https://cloud.tencent.com/product/security

现代网络应用程序认证最常见的方式是什么？

rest、web-services、security、spring-security、restful-authentication

我正在使用Spring，Security编写一个web应用程序(REST )。现在，我有基本的身份验证和使用用户名、密码和角色的非常简单的授权。我想改善安全层，但我没有这方面的经验。当我查看邮递员可能的身份验证方法并在google上搜索时，我看到了以下几个选项： SignatureNTLM API密钥111</代码>OAuth 2.0<代码>H 212</代码>H 113</代码>Hawk Auth<code>H 214</code><code>H 115</code>AWS Auth<代码

浏览 1提问于2019-10-11得票数 33

回答已采纳

4回答

HTTP身份验证和OAuth 2.0相同吗？

authentication、oauth、oauth-2.0、basic-authentication

一个供应商API文档提到他们的API调用需要使用HTTP身份验证方案，即用户:密码Base64编码，但是他们的令牌API (登录等效)文档提到"..this服务实现OAuth 2.0 -资源所有者密码和凭据授予“ HTTP基本身份验证是否与OAuth不同？

浏览 4提问于2017-07-31得票数 7

回答已采纳

1回答

在与授权服务器通信时，OAuth2资源服务器应该使用基本令牌身份验证还是持有者令牌身份验证？

spring、spring-security、oauth-2.0、spring-security-oauth2

给定单独的spring-security-oauth2授权和资源服务器：我期望授权服务器的/oauth/check_token端点在Authorization头中接受来自资源服务器的持有者令牌，但它只接受Basic身份验证。注意:我指的是请求身份验证令牌，而不是要检查的令牌。我认为OAuth2AuthenticationProcessingFilter负责提取和验证Authorization: Bearer ...，但基于javadoc，它似乎只被资源服务器用来验证来自用户或其他客户端的请求。在与授权服务器通信时，资源服务器是否应该始终提供Basic身份验证？最佳实践是什么？如果可以接受

浏览 2提问于2019-05-08得票数 1

1回答

OpenID连接--在这种情况下，应该将id令牌发送到受保护的资源吗？

security、oauth-2.0、single-sign-on、openid-connect

假设我有一个本地应用程序需要发出请求的web。这个API需要验证通过本机应用程序发出这些请求的用户是谁。OpenID连接似乎是正确的选择，因为它是关于身份验证而不是使用OAuth的授权。本机应用程序向IDP发送用户凭据，并获取访问令牌(用于授权)和id令牌(用于身份验证)。根据我对OIDC的了解，访问令牌将被发送到API，但id令牌只用于本地客户端应用程序。这对我来说毫无意义，因为是API关心的是用户，而不是本地应用程序。那么，为什么id令牌也不传递给受保护的资源(也就是API)？如果您不将id令牌传递给API，那么如何保证访问令牌是安全的，并可用于验证用户？否则，它似乎失去了在OAuth

浏览 0提问于2017-08-17得票数 5

回答已采纳

2回答

OAuth2: JWT Authorization Grant和使用JWT客户端身份验证授予客户端凭据有什么不同？

oauth、oauth-2.0、jwt

JWT概要引入了将OAuth2用作授权授权和客户端身份验证的可能性。 JWT客户端身份验证特性独立于特定的授权类型，可以与任何授权类型一起使用，也可以与客户端凭据授权一起使用。但是，使用JWT授权类型似乎与使用带有JWT客户端身份验证的客户端凭据授权完全相同，只是语法略有不同。在这两种情况下，客户端都会联系令牌端点以获取访问令牌： POST /token.oauth2 HTTP/1.1 Host: as.example.com Content-Type: application/x-www-form-urlencoded grant_type=urn%3Aietf%3Aparams%3A

浏览 0提问于2015-04-16得票数 31

回答已采纳

1回答

检查Oauth2实现是否正确

api、oauth、oauth-2.0、restful-authentication

我为我的网站(称为CLMS)设计了一个受RESTful启发的API，我希望使用oauth2 (而不是oauth1)来保护它。在网上搜索之后，我想出了这个.谁能帮我检查一下，回答我的问题吗？上下文. 我有一个多租户系统(名为CLMS)，它既是授权服务器，也是资源服务器。CLMS将被特定的可信合作伙伴使用(让我们将一个例子称为3PS)。流：应用程序凭据在任何合作伙伴(3PS)可以使用CLMS API之前，他们必须从CLMS带外获取唯一和机密的凭据。这些凭据包括client_id和client_secret。这些细节将用于使用OAuth 2.0协议对API调用进行身份验证。 client_i

浏览 4提问于2015-02-10得票数 0

回答已采纳

1回答

Spring安全oauth2登录/ spring云网关使用XHR发送302

java、spring-security-oauth2、spring-cloud-gateway

我正在开发一个带有BFF的SPA应用程序，它使用spring云网关配置为具有spring安全性的oauth2客户端和作为授权服务器的keycloak服务器。我做了一个经典的spring安全配置： @Configuration @EnableWebFluxSecurity public class SecurityConfiguration { @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { http.authorizeExchange

浏览 15提问于2022-11-11得票数 0

3回答

基于REST API令牌的身份验证

authentication、rest

我正在开发一个需要身份验证的REST API。由于身份验证本身是通过HTTP上的外部we服务进行的，因此我推断我们应该分发令牌，以避免重复调用身份验证服务。这就引出了我的第一个问题：这真的比仅仅要求客户端对每个请求使用HTTP Basic Auth并将调用缓存到身份验证服务服务器端更好吗？基本身份验证解决方案的优势在于，在开始请求内容之前，不需要与服务器进行完整的往返。令牌在范围上可能更灵活(即只授予特定资源或操作的权限)，但这似乎比我的更简单的用例更适合OAuth上下文。目前令牌的获取方式如下： curl -X POST localhost/token --data "api_

浏览 38提问于2012-03-20得票数 124

回答已采纳

1回答

Security用于UserDetailsService实现的oAuth2？

java、spring-mvc、spring-security、oauth-2.0、jwt

因此，使用基本身份验证，我可以看到简单地使用UserDetailsService实现的价值，它基本上只是加载用户并确认它们是经过身份验证的。然而，我现在想使用oAuth2，并且不确定我在这个问题上的想法是否完全错误。使用oAuth2不会消除对UserDetailsService实现的需求吗？因为从本质上来说，授权服务器是负责检查用户是否存在的(使用Resource密码流)，然后向用户发送一个JWT。一旦用户拥有了这个访问令牌并可以与每个请求一起发送它，就必须有另一种方法将用户身份验证到AuthenticationManager中，而不是重复工作和检查，以确保UserDetailsServi

浏览 0提问于2017-05-26得票数 1

回答已采纳

1回答

Web :授权或/和身份验证

api、authentication、oauth、authorization、hmac

我创建了asp.net web项目。我需要添加授权或/和身份验证。我读过很多关于OAuth、SAML、JWT、HMAC等的文章，每次我看到作者都强调OAuth不是身份验证，您需要将authN与authZ区别开来。我有点困惑，因为我不明白：当我需要使用身份验证(SSO，登录/密码)和何时授权(OAuth，令牌)的API？ HMAC、JWT是用于授权还是用于身份验证？因为它们是经过签名的，所以我可以将userid添加到此令牌中，使用类似于用户标识符。 authN工作流和authZ工作流有什么真正的区别？

浏览 7提问于2015-10-14得票数 0

回答已采纳

2回答

如果我切换到Okta，会被替换吗？

single-page-application、spring-security-oauth2、okta

目前，我有一个SPA，后面有多个springboot微服务(资源服务器)。身份验证和授权在后台使用服务于“登录页”(同意屏幕)的Spring进行。在Oauth服务器中，有一个ldapAuthentication提供程序将身份验证委托给Active Directory，其余的(用户详细信息和权限)从jdbc从自定义数据模型(组和权限)中获取。我有开始使用Okta (企业)的要求。从概念上讲，我是否必须完全删除Server，并使用Okta完成所有有关身份验证和授权的操作？流量会是多少？我目前使用的Bearer令牌会发生什么情况？当对请求应用安全访问时，每个资源服务器的内省会发生什么？我很困惑从开始

浏览 10提问于2022-09-19得票数 0

回答已采纳

1回答

如何通知OAuth2 API客户端丢失凭据？

rest、oauth-2.0、vert.x

我使用Vert.x构建了一个REST，并希望添加OAuth2身份验证。在我当前的设置中，未经身份验证的请求将自动重定向到OAuth2服务器(keycloak)登录页面。在处理REST时，这似乎是错误的。相反，我希望REST服务器返回401，从而让客户端处理获取访问令牌的过程。这个用例有最佳实践吗？如何处理对受保护资源的未经身份验证的请求？

浏览 0提问于2018-05-09得票数 0

回答已采纳

2回答

我的API的用户使用github登录是否安全？

authentication、oauth、oauth2

据我所知，OAuth2的目的是将授权授权委托给特定的资源，它本身就是而不是认证协议。然而，passport-github自述文件指出，此模块允许在GitHub应用程序中使用Node.js进行身份验证。通过插入Passport，GitHub身份验证可以轻松、低调地集成... -- GitHub身份验证策略使用GitHub帐户和OAuth 2.0令牌对用户进行身份验证。通过在我的passport-github中使用HelloAPI，最终用户将被定向到GitHub的授权服务器，以启动3条腿的authorization_code流：首先，用户使用GitHub进行身份验证，并授予对HelloAPI

浏览 0提问于2016-10-23得票数 7

回答已采纳

3回答

将OAuth 2.0身份验证添加到RESTful API中

api、rest、symfony、oauth-2.0

我有一个API，需要通过OAuth 2.0进行身份验证。我最初预计使用，但是从调查来看，这更多地是为了将第三方连接到Symfony的安全性/auth机制中，而不提供验证OAuth 2.0 Authorization头所需的机制。然后，我发现了一些关于的信息，它使应用程序能够成为自己的OAuth 2.0提供程序，并提供了验证Authorization头所需的安全机制。但是，问题是我希望将OAuth 2.0提供程序(授权服务器)集成到外部应用程序(其中包含用户基础)中，而不是将其包含在API中。它将提供一些机制，通过(另一个) RESTful API对这个外部应用程序执行令牌验证。点：

浏览 5提问于2014-10-10得票数 11

2回答

当使用OAuth访问SPA和REST时，应该为RBAC存储用户组成员的位置

oauth-2.0、keycloak、openid

我正在努力实现oauth2，以保护将调用REST的web应用程序，并允许其他潜在客户端访问相同的rest。我想使用基于角色的访问来控制从API返回的数据。我将使用Keycloak作为授权服务器，以及用于用户/组管理。用例是我将使用公共客户端(SPA)和机密(可能只有承载客户端) (REST )以及将成为这些组的一部分的组和用户创建keycloak领域。用户将通过授权流登录到SPA，并将收到访问令牌。 SPA将向REST服务发出请求(XHR)，将令牌作为承载令牌传递，并根据用户所在的组检索数据或执行允许的操作。我正在努力理解/最佳实践，我应该在哪里存储用户所属的组列

浏览 2提问于2021-01-29得票数 3

回答已采纳

1回答

没有OIDC的OAuth2.0 (平原OAuth2.0)

oauth-2.0、oauth、openid-connect、openid、openid-provider

据我所知，我们可以用不同帐户登录的应用程序使用OpenID连接(OAuth2.0的概要文件)。 OAuth用于授权，OIDC用于身份验证(它具有ID令牌-用户信息端点)。那么，在OIDC之前不能使用OAuth从另一个应用程序帐户登录到应用程序吗？(如果可能的话，怎么做？) 如果普通的OAuth不能用于身份验证，那么它用于什么？我的意思是“授权”到底是怎么回事？它从访问令牌的资源服务中得到了什么？

浏览 4提问于2021-07-31得票数 0

3回答

如何实现restful方式的身份验证？

rest、service、authorization

我正在使用python在web应用程序google应用程序引擎上构建一个图片日记。用户可以注册并将图片上传到日记中。而且，我正在尽可能地遵循其他的做事架构。对于web应用程序，身份验证方案如下所示：从前端发布用户名/密码如果身份验证成功，后端将设置cookie。其余的AJAX调用都是使用此cookie进行身份验证的。有什么办法不使用曲奇就能适应休息吗？现在，我还在构建一个android应用程序，用户可以登录并发布/查看他们的图片日记。我需要公开来自web应用程序的数据存储的数据，所以我将构建一个web服务来从数据存储中获取数据。 android客户端的身份验证

浏览 12提问于2010-07-17得票数 12

1回答

Spring OAuth2单页应用集成到Azure

azure-active-directory、spring-oauth2

我的任务是将Azure Active Directory授权集成到我们的应用程序中，并尝试了一些相对成功的示例。我有一个Javascript应用程序(GoogleWebToolkit)，它与Spring (而不是Boot)通信。Rest目前使用Security和登录URL、用户名/密码等进行保护。我想将其更改为使用Azure OAuth2。作为OAuth2的新手，我试图弄清楚我是否应该使用以下任何一种Spring选项。使用此选项，所有配置都在服务器端完成，客户端id，如果我从SPA前端执行href到'oauth2/authorization/AzureAD‘URL，它会将重

浏览 12提问于2022-05-25得票数 0

1回答

带有OAuth2.0/OpenID连接和内部身份验证的Spring引导API？

spring-boot、spring-security、oauth-2.0、openid-connect、spring-security-oauth2

我很难找到一种很好的方法来实现OAuth2.0和OpenID连接身份验证，同时使用B2B安全性为B2B应用程序的API进行现有的内部email+password身份验证。我们有一个后端REST，它是一个servlet应用程序，它目前使用OAuth 1.0和password授权对用户进行身份验证。前端是一个有角度的单页应用程序，用户必须使用他们的用户名和密码登录。然后，API的/oauth/token端点提供一个不透明的访问令牌，用于获取安全资源，然后在应用程序中显示这些资源。我们希望增加使用OpenID连接使用外部身份验证登录的可能性，这是切换到OAuth 2.0和JWT令牌的绝佳机会。然

浏览 3提问于2022-08-12得票数 0

2回答