OAuth:存储访问令牌和密钥
OAuth(Open Authorization)是一种开放标准的授权协议,用于授权第三方应用访问用户在某个服务提供商上存储的资源。它允许用户提供给第三方应用有限的访问权限,而无需将自己的用户名和密码提供给第三方应用。
OAuth的工作流程如下:
- 用户向第三方应用请求访问某个服务提供商的资源。
- 第三方应用将用户重定向到服务提供商的授权页面。
- 用户在授权页面上登录并授权第三方应用访问特定的资源。
- 服务提供商生成一个授权码,并将其传递给第三方应用。
- 第三方应用使用授权码向服务提供商请求访问令牌和刷新令牌。
- 服务提供商验证授权码,并向第三方应用颁发访问令牌和刷新令牌。
- 第三方应用使用访问令牌来访问用户的资源。
OAuth的优势包括:
- 安全性:用户的用户名和密码不会被第三方应用获取,减少了密码泄露的风险。
- 用户控制:用户可以选择授权给第三方应用访问特定的资源,保护了隐私。
- 便捷性:用户无需重复输入用户名和密码,提高了用户体验。
OAuth的应用场景包括:
- 第三方登录:用户可以使用自己在某个服务提供商上的账号登录第三方应用,如使用微信账号登录某个网站。
- API访问授权:允许第三方应用访问用户在某个服务提供商上的API,如获取用户的社交媒体数据。
腾讯云提供了一些相关的产品和服务,如:
- 腾讯云API网关:提供了OAuth 2.0授权认证功能,可用于保护API接口的安全性和访问控制。
- 腾讯云身份认证服务:提供了OAuth 2.0认证服务,可用于用户身份验证和授权管理。
更多关于OAuth的详细信息,请参考腾讯云的官方文档:
相关·内容
1回答
我用Swift 4编写了一个使用的应用程序。因此,我要求用户能够访问Discogs帐户上的个人数据,因此我使用对他们的API进行身份验证。目前,我能够启动auth流,登录并返回an oauthToken和oauthTokenSecret。
向他们的https://api.discogs.com/oauth/identity发出随后的请求,我会被返回一个用户对象,所以我很高兴现在我可以登录并发出经过身份验证的请求。
但是,我不明白当应用程序第一次启动时,我如何检查用户是否经过身份验证。目前,我没有存储响应,而是在嵌套回调中调用标识端点。
import UIKit
import OAuthSwif
浏览 3提问于2018-01-14得票数 1
回答已采纳
1回答
我已经创建了一个项目,我想在我的Dropbox帐户上上传文件。它在我的Dropbox帐户中上传成功。但问题是它会要求进行身份验证。我不想要那个身份验证弹出窗口。使用我的app_key和secret绕过身份验证。
public function request_dropbox()
{
$params['key'] = $this->config->item("dropbox_key");
$params['secret'] = $this->config->item("drop
浏览 4提问于2016-10-21得票数 0
2回答
我正在为一个移动应用程序构建一个REST后端。在我们的设计选择中,我们决定让OAuth2提供者处理登录安全性;但是,我不确定访问令牌的最佳实践是什么,这是我从OAuth2提供者那里获得的。
情况是,当用户登录时,我会从OAuth2提供程序获得一个访问令牌。每次移动应用程序向我的后端发出请求时,我都需要使用这个令牌,这样我就可以针对OAuth2提供者验证令牌是否仍然有效。
我知道我将创建一个JWT并将其交给移动应用程序,它将在每次发出请求时使用该应用程序。现在,我的问题是,是将从OAuth2提供程序获得的访问令牌作为声明存储在JWT中,还是将其存储在数据库中,并将其与用户ID连接,然后将其存储在
浏览 0提问于2016-02-10得票数 20
2回答
我连接到twitter应用程序,并获取oauth令牌值并存储在数据库中。我发现令牌值过期了,每次我用twitter登录时,我都会得到一个新的令牌值。
我正在搜索offline_access,这是由脸书提供的。
如果有人遇到过同样的问题,请帮帮我。
提前感谢
浏览 1提问于2011-01-25得票数 3
2回答
我正在开发一个web应用程序。它使用oauth从不同的服务进行身份验证。是否存在将这些令牌和密钥直接放入数据库的风险。或者我应该加密它们?
保存oauth令牌和密钥的一般安全模式是什么
浏览 2提问于2011-09-09得票数 2
回答已采纳
我想用Tumblr API 2,
我已经在这里注册了一个应用程序:
但是我只得到了"OAuth消费者密钥“和”密钥“。"OAUTH_TOKEN“和"OAUTH_TOKEN_SECRET”在哪里?
一个程序需要这些参数:
class TumblrAPIv2:
def __init__(self, consumer_key, consumer_secret, oauth_token, oauth_token_secret):
self.consumer = oauth2.Consumer(consumer_key, consumer_secret)
浏览 0提问于2011-10-06得票数 19
1回答
安卓手机上的OAuth安全问题?
、、、、
我正在编写一个客户端应用程序,它将在安卓手机上运行,它将代表用户与OAuth服务器交互。我在我的web服务器上运行了OAuth服务器端代码,以便在与远程OAuth服务器握手时维护OAuth会话细节。现在,我在争论如何最好地处理智能手机上客户端的考虑。
对于这个问题,让我们假设,在远程OAuth服务器登录用户并授予我的应用程序访问权限之后,过去我收到了一个授予我的访问令牌。我们还假设它是一个“好的,直到撤销的”访问令牌。
当然,主要关注的是实现一些不会给用户带来风险的东西。最简单的方法是让我的web服务器以加密的形式将访问令牌返回给智能电话上的客户端代码,并将该加密令牌存储在用户的本地存储中。或
浏览 2提问于2011-04-19得票数 1
1回答
我正在尝试对我的Django应用程序中的Rdio API进行授权调用。到目前为止,我一直在看下面的教程来设置它:
页面底部的代码对我来说工作得很好:我可以获得请求令牌,使用PIN授权用户,然后使用新的访问令牌进行呼叫。
但是,我想实现回调,这样用户就可以登录并返回到我的网站,这样我就可以使用他们的帐户进行授权请求。我目前有一个带有授权应用程序的链接的页面,其中获取链接的函数如下:
def get_auth_url():
client = oauth.Client(consumer)
response, content = client.request('http://
浏览 3提问于2014-04-07得票数 1
在我的ICryptoKeyStore实现中,我将数据存储在数据库中。
在我的数据库中,我只看到一个授权码条目(存储桶是/dnoa/oauth_ authorization _ code )和一个刷新令牌(存储桶是/dnoa/oauth_ refresh _ token )。另外,有效期是7月31日?对我毫无意思。不是每个用户每个会话都有一个授权码吗?我总是得到同样的答案。
另外,访问令牌(在授权报头中作为承载令牌发送的令牌)是否未存储到ICryptoKeyStore?
浏览 0提问于2013-07-05得票数 0
我们有一个移动应用程序,这是需要通过WSO2应用程序接口管理器来访问一些API。由于oauth2身份验证,我们需要在手机应用中存储用户名和密码,这样安全吗?例如,用户名和密码可以用于登录API Store,对于这种情况,有什么替代方案吗?
浏览 1提问于2013-08-27得票数 2
我正在尝试做一个Twitter连接使用webview在优秀的Appcelerator钛。我知道David R out有一个很棒的库,但我不想使用弹出窗口,我觉得我需要对流程进行更多的控制。
我的问题是:在身份验证流期间,我需要获得一个oauth_token (据我所知),它是消费者密钥和其他值的组合。我该怎么做呢?如何生成此令牌,以便可以继续该过程?
我当然在使用Javascript。
感谢所有的输入!
浏览 2提问于2011-03-27得票数 0
我正在尝试为OAuth身份验证获取一个有效的访问令牌。我正在尝试理解使用oAuth 2.0进行身份验证的过程。我想知道怎么用
[GTMOAuth2ViewControllerTouch authForGoogleFromKeychainForName:clientID:clientSecret:]
我的最后一个目标是让应用程序记住一个用户,并避免每次用户启动应用程序时都以表单形式登录。
当我打电话的时候
-(void) getAuthFromKeychain{
self.myAuth = [GTMOAuth2ViewControllerTouch authForGoogleFromKeycha
浏览 3提问于2013-11-07得票数 2
我正在尝试通过Azure中的powershell函数应用程序为用户实现OAuth2身份验证。通过阅读,它特别建议将刷新令牌保存在应用服务器上:
安全地保存refresh_token,这样您的应用程序就不需要提示用户再次授权。访问令牌的过期相对较快,不应持久化。
存储刷新令牌的最佳实践是什么?我可以想出许多方法,但恐怕我会做一些幼稚的事情。
浏览 1提问于2021-04-22得票数 1
作为练习,我正在开发一个桌面应用程序,用户需要用它登录到web服务。OAuth2的逻辑用例有人会说,但我开始怀疑它是否有用。我正在寻找两条腿的身份验证,这使得客户端凭据、隐式和资源所有者密码流可用。
由于我希望用户能够直接在应用程序中登录(而不是通过浏览器和重定向URI),因此隐式流作为一个选项而消失。另外两个流需要发送client_id和client_secret,我已经读过很多次,在桌面应用程序中存储client_secret是不安全的。
我的问题是:这到底有多不安全?对于对手来说,分解(桌面)应用程序并找出client_secret**?*有多容易,我可以考虑接受风险,这样我就可以使用O
浏览 0提问于2015-02-02得票数 3
当我调用API来获取令牌时,这条消息就会出现,我不知道为什么以及如何修复它,
这是我的授权:OAuth oauth_consumer_key="V3R6bm******DznqE-ellA", oauth_nonce="bbo8dYK6anE6JZsEIhj2RmKuEwV0****", oauth_signature="UQH1OnFWEscFbyZIx4DRn9qSOW+nvIlzCEgXrjm***=", oauth_signature_method="HMAC-SHA256", oauth_timestamp="1
浏览 3提问于2022-06-02得票数 0
我是oAuth的新手。
我正在为Twitter API编写一个基于桌面的windows客户端。当我为oAuth.CallBackUrl使用值"oob“时。在授权时,我会得到一个PIN (即75940xx)。请帮助我找到,我应该如何使用我的应用程序代码中的PIN,以便能够从Twitter获取数据。
一个例子将是非常感谢的。
浏览 0提问于2011-01-23得票数 2
回答已采纳
3回答
我知道,这些问题以前曾被单独问过几次,我发现的大多数答案都是"Python不易混淆,因为这就是语言的本质。如果您真的需要混淆,请使用另一个工具“和”在某个时候您需要权衡“(参见和)。
不过,我刚刚开发了一个小型Python应用程序,它使用了Twitter(因此需要OAuth)。OAuth需要一个消费者秘密,这是为了远离用户。应用程序需要这些信息,但是用户不应该能够很容易地访问它。如果这些信息不能被保护(而且我使用混淆和保护作为同义词,因为我不知道任何其他方法),,OAuth API最初用于OAuth有什么意义?
接下来的问题是:
是否可以在应用程序中对秘密进行硬编码,然后以一种有效
浏览 5提问于2015-05-12得票数 6
1回答
根据和,有两种方法可以验证JWT令牌:
使用RemoteTokenServices (基本上调用oauth服务器的/check_token端点)检索整个令牌并进行比较。
在oauth服务器公开公钥,并在资源服务器上验证JWT的签名
一开始,我尝试了第一种方法,但由于我使用了自定义令牌转换器,每次生成令牌时都会访问数据库,因此我决定在资源端切换到签名验证--不希望为每个客户端请求获得额外的数据库调用。
经过研究,我认识到ResourceServerTokenServices (接口描述令牌检索、转换和生成一个有效的OAuth2Authentication对象)只有两个默认实现:D
浏览 1提问于2015-09-09得票数 3
为了实现这一点,我看到有两种不同的授权方法,Omniauth (使用omniauth-linkedin Gem)和OAuth(使用linkedin gem)。据我所知,Omniauth gem用于单独登录,而Linkedin gem可用于请求和保存API数据。
下面的控制器工作正常,但有一个问题,它转到身份验证页面两次,一次是Omniauth (登录)验证,第二次是Oauth (API pull- Linkedin gem)验证。
有没有办法将这两种授权结合起来,让用户只登录linkedin一次,如果他/她是第一次使用linkedin,它也会直接使用OAuth进行授权(以某种方式将acces
浏览 0提问于2014-04-02得票数 0
4回答
我将使用oAuth从谷歌获取邮件和联系人。我不想每次都要求用户登录以获取访问令牌和密码。据我所知,我需要将它们与我的应用程序一起存储在数据库或SharedPreferences中。但我有点担心安全方面的问题。我读到你可以加密和解密令牌,但攻击者很容易只需反编译你的apk和类,并获得加密密钥。
在安卓中安全存储这些令牌的最好方法是什么?
浏览 58提问于2012-04-15得票数 136
回答已采纳
JWT OAuth2令牌是从预取并存储在Redis中的。
我不想在OAuth2RestTemplate中请求访问令牌,我希望对请求使用JWT令牌。
我可以用OAuth2RestTemplate做吗?或者我应该使用普通的RestTemplate。
浏览 2提问于2016-09-07得票数 1
回答已采纳
2回答
我一直在学习OAuth2、JWT令牌和刷新令牌。
我对此的理解是:
用户使用他们的凭据登录。
它们被返回一个访问令牌(短期)和一个刷新令牌(长寿命)。
对API资源的任何请求都使用访问令牌。
当访问令牌过期时,刷新令牌将用于获取另一个令牌。这避免了用户重新输入他们的凭据的需要,同时提供了一种撤销访问的机制。
由于签名的方式,访问令牌(JWT)是防篡改的,可以包含任何声明。通常,无论用户如何,令牌都是用相同的密钥签名的,这意味着在不更改密钥和踢出其他人的情况下,不能单独基于访问令牌启动受影响的用户。
在所有这些情况下,简化流程是否有什么问题?
在数据库中为每个用户存储一个访问令牌,以及一个用于签
浏览 0提问于2019-10-01得票数 2
1回答
我正在为我的公司创建一个web应用程序,它将使一些文件与Box上的文件保持同步。这将通过使用每小时运行一次的cron作业来完成。
我通过在我的帐户中设置开发人员令牌来让应用程序正常工作,这是为了在我构建应用程序时进行测试。
现在开始工作了,我想让身份验证工作起来,这样我就可以让它继续运行了。因此,我想知道是否有一种方法可以让我们的企业帐户拥有一个API,或者我是否必须实现OAuth并将一个用户连接到应用程序,这似乎有点过头了?
浏览 2提问于2014-06-06得票数 0
我是Oauth的新手。在过去,对于用Python编写的twitter应用程序,我使用python-oauth2库来初始化客户端,如下所示:
consumer = oauth.Consumer(key = CONSUMER_KEY, secret = CONSUMER_SECRET)
token = oauth.Token(key = ACCESS_KEY, secret = ACCESS_SECRET)
client = oauth.Client(consumer, token)
这很容易,因为twitter同时提供了消费者和访问密钥和秘密。但现在我需要为tumblr做同样的事情。问题是tum
浏览 1提问于2011-09-27得票数 7
回答已采纳
2回答
我刚开始研究OAuth,它看起来真的很不错。我现在在红宝石区有。
现在我想知道,在本地数据库和会话中存储响应的推荐安全方法是什么?
我应该储存什么?
我应该把它放在哪里?
这个示例应用程序在会话中存储一个user.id,用户表有token和secret。但这似乎真的很容易破解,并通过传递一系列测试用户ids获得秘密,不是吗?
浏览 2提问于2010-05-03得票数 14
5回答
我需要实现单点登录系统使用Oauth2。我理解oauth2中的步骤,但我不知道生成授权码或access_token的具体算法是什么,可能是Hash或something.And我在互联网上找不到它
浏览 3提问于2016-03-16得票数 2
1回答
目前,我正在开发一个基于桌面C#的应用程序,使用OAuth 2.0协议进行授权。因此,我可以毫不费力地获取客户端访问和刷新令牌。
因此,OAuth 2.0告诉我们,我们需要访问令牌来从我的服务中检索数据。然而,在阅读了关于它的Amazon文档后,我完全迷惑了,因为他们使用了另一种方式(Access-Key),生成Access-Keys和临时密钥以及其他方式。
那么我们为什么需要访问令牌呢?有没有其他方法可以做到这一点,使用访问令牌,而不必处理amazon SDK?
谢谢
浏览 0提问于2019-02-11得票数 0
1回答
当用户提供正确的凭据时,我就是这样管理OAuth身份验证的:
protected function authenticated(Request $request, User $user)
{
return response()->json([
'token' => $user->createToken('my_app')->accessToken
]);
}
我尝试使用默认的Laravel身份验证(护照),它使用OAuth。我遇到的问题是,每次用户连接时,都会
浏览 4提问于2020-06-24得票数 1
回答已采纳
3回答
我可以通过GitLab通过JGit克隆,但是当我推送更改时,我会得到一条not authorized错误消息。
还有三个基本细节:
我拥有存储库,所以它不是只读访问的问题。
存储库是私有的,因此我知道OAuth 2令牌是有效的,并且正在初始克隆中使用。
我只有用户名和oauth2令牌。我没有用户的密码、SSH密钥或个人访问令牌。
这是我的克隆命令:
Git.cloneRepository()
.setURI(target)
.setDirectory(repoFolder)
.setCloneAllBranches(true)
.setCredentials
浏览 2提问于2016-10-18得票数 5
我正在为我正在开发的应用程序实现一个基于OAuth 2的授权模型。我为最终用户提供了使用Facebook登录或使用我的API设置电子邮件/密码帐户的能力。使用密码授予,电子邮件/密码身份验证非常简单。我正在寻找Facebook登录流程的帮助。
我的应用程序是一个使用JSON API (我的“资源服务器”)的单页面应用程序。我正在使用Facebook JavaScript SDK授权web应用程序访问最终用户的电子邮件地址。
当用户尝试登录Facebook时,整个过程发生在Facebook和web应用程序之间。因此,我的API不能信任Facebook授权令牌,除非它向Facebook的OAuth
浏览 3提问于2016-01-12得票数 15
回答已采纳
我们正在努力从Jira获取用户的身份验证令牌。此Auth令牌将用于进行API调用,以便为用户(我的代理)从Jira平台获取问题。为了获得这个Auth令牌,我获得了我的代理的用户名和密码,但是,在Jira中没有用于密码授予的API来获得Auth令牌。它们的所有OAuth身份验证也都是3LO (3条腿的OAuth,用户必须参与其中)。有没有更简单的方法来使用简单的用户名和密码来提取OAuth。 注意:我已经检查了基本身份验证功能以进行API调用,但它还需要代理的用户名和API令牌。我认为不可能为每个代理单独创建API令牌。
浏览 139提问于2021-01-07得票数 1
我正在使用和Pytgon,在这个阶段,我仍然对something的某些内容不确定。文档没有提供任何信息,或者我只是无法跟踪它。所以:
OAuth2Decorator()存储用户Crediantials吗?
OAuth2Decorator()自动检索新令牌吗?
请参阅以下示例:
decorator = OAuth2Decorator(...)
service = build("drive", "v2")
class AppHandler(BaseHandler):
@decorator.oauth_aware
def get(self):
浏览 2提问于2013-05-10得票数 2
回答已采纳
我使用了这里的教程链接(),但它不起作用。然后我下载了源代码,并让它运行和工作。然而,当我输入我的密钥和密钥密钥时,它不再起作用,并且我在应用程序中得到一个'OAuthCommunicationException‘。我没有改变其他任何东西,我怎么才能让它工作呢?谢谢
编辑:这是我对错误的堆栈跟踪。
07-07 18:56:47.835: W/System.err(586): oauth.signpost.exception.OAuthCommunicationException: Communication with the service provider failed: https
浏览 0提问于2012-07-03得票数 0
1回答
看起来Twitter多年来改变了术语,没有适当地更新它们的文档,这导致了混乱(至少对我来说是这样)。
根据,我需要使用oauth_consumer_key和oauth_token。
此时,我想访问提出请求的网站拥有的帐户,所以我并不试图为网站用户获取令牌,而是使用Twitter为应用程序提供的令牌。
在“应用程序详细信息”页面中,我有API key、API secret、Access token和Access token secret的值
你能告诉我这些密钥/秘密是如何映射到oauth_consumer_key和oauth_token的吗?另外两个是用来做什么的?
谢谢!
浏览 3提问于2014-04-11得票数 1
回答已采纳
我正在为Google创建一个应用程序(从技术上讲,它是玻璃器皿,但无论如何)。用户在完成Glassware的设置时将执行以下步骤:
转到我的网站,通过Glassware页面重定向。
重定向到Google OAuth页面,这样他们就可以登录了。
重定向回我的OAuth重定向URI (可以说是登陆页面)。
被提示访问第三方网站(比如Facebook、Twitter或Instagram,目前还不确定)。
通过OAuth舞蹈或身份验证舞蹈获得一个API密钥/OAuth密钥。
感谢一切都结束了。
所以现在我手头有几个API/OAuth令牌,一个内部的UserId和一个用户的Google。我可能会有更多的
浏览 0提问于2014-03-04得票数 2
我正试图用twitter创建一个应用程序,但我还是停留在了第一步。
我试着把邮件发到,但每次我都能拿到401。
我正在使用的POST方法的一个变体,非常特定于我的工具,所以我将只发布高级图片。
My Header: 'oAuth '+
'oauth_callback="oob",'+
'oauth_consumer_key="zhaD2Y6RrQaaZQSz21RShA",'+// fake
'oauth_nonce="
浏览 2提问于2013-05-19得票数 2
回答已采纳
我在我的网站上使用了优秀的tmhOAuth php库。但是,我无法弄清楚如何访问从我的auth.php收到的用户令牌/密码?(例如,当尝试获取当前用户的朋友列表时。)
这是在中声明的
* Although this example uses your user token/secret, you can use
* the user token/secret of any user who has authorised your application.
我已经成功地使用了,但是如何使用我收到的用户令牌/密码呢?在这个例子中,它仅仅是这样声明的:
$tmhOAuth = new tmhOAut
浏览 0提问于2012-06-08得票数 2
回答已采纳
1回答
用于身份验证和签名的证书
、、、
我有一个客户端服务器场景。
我既有胖客户端,又有与服务器通信的瘦客户端(浏览器)。
我的胖客户端使用X-509系统证书进行客户端证书身份验证,并与服务器通信
此外,该证书还用于为瘦客户机生成签名的URL (带过期时间),以便与服务器通信,以实现完整性和授权目的。在这种情况下,我还有一种基于令牌的方法来进行身份验证。
现在,我想使用客户端凭据或基于认证码的方式将我的身份验证机制转移到基于OAuth的流程中。
我知道身份验证和授权可以转移到基于OAuth的通信上。但是,如何将基于签名(数字签名)的用例从基于证书的用例转移到OAuth?
我认为除了使用基于证书的PKI机制进行数字签名之外,没有其他方
浏览 2提问于2020-06-02得票数 0
1回答
我正在开发一个PHP项目,该项目利用了一些服务中的API。对于单个API,它使用OAuth 2.0授权对应用程序的API访问进行身份验证。但是,我不确定应该如何处理这个过程来验证本地控制台应用程序。
我不会使用webflow来验证API,因为我的PHP脚本在本地控制台中运行。API允许通过输入我的用户名和密码来检索访问令牌和刷新令牌(他们只推荐用于控制台应用程序)。
一旦我获得了访问令牌,我就可以使用它来发出API请求。这个很好用。但是,我不知道如何处理刷新令牌。API以这样的方式使用刷新令牌:
/oauth2/access_ token / (刷新令牌使用)
上下文:客户端的Web服务器
浏览 15提问于2014-06-16得票数 1
好的,我正在尝试使用Javascript和WinJS为Windows8构建一个小的推特客户端。我已经获得了请求的oauth令牌以及oauth验证器。微软的一个模板就是一个很好的资源。不过,我似乎在网上找不到任何关于Javascript和oAuth的帮助。不管怎样,这是我的代码。我需要弄清楚如何在这里获取oAuth访问令牌表单并存储它们。
////
//// The function of this file is to connect with Twitter via oAuth
////
(function () {
"use strict";
//
浏览 0提问于2012-06-28得票数 1
我对OAuth2标准非常陌生,我想知道访问令牌(Oauth1)和承载令牌(Oauth2)之间有什么区别。承载令牌是一种访问令牌吗?持票人代表什么?
浏览 1提问于2015-08-07得票数 0
我想知道Magento主机是否会提供访问令牌,即使管理员/商店中没有添加任何产品或资源?我没有在我的商店中添加任何产品,我有一个请求令牌和oauth验证器,但我无法获得访问令牌?我得到http代码'0‘,没有特别的错误。我正在使用magento网站中给出的代码。
<?php
/**
*通过Magento REST API使用客户帐户检索产品列表的示例。使用OAuth授权*/
$callbackUrl = "http://127.0.0.1/callback.php";
$temporaryCredentialsRequestUrl = "http://12
浏览 11提问于2017-01-18得票数 0
1回答
我在我的应用程序中实现了Oauth2来保护应用程序接口调用。我的Oauth和资源服务器在两个不同的物理机器上(但在同一个网络上)。对于资源服务器上的每次调用,它都需要调用Oauth服务器进行Oauthtoken验证。
一天之内,我有数百万个请求到达我的资源服务器。目前,为了验证Oauth令牌,我正在使用从资源服务器到Oauth服务器的rest调用。
有没有办法让这个过程更快,因为每个调用都需要重定向到Oauth服务器?webSockets能解决这个问题吗?
浏览 5提问于2016-04-24得票数 1
1回答
我们都知道,当存储密码时,我们应该使用单向散列来存储它,例如SHA、bcrypt或scrypt的变体,以防止数据库被黑客入侵时纯文本密码泄漏。
但是OAuth令牌呢?如何存储Facebook访问令牌?Twitter访问令牌?我应该把它作为纯文本存储吗?用AES和网站密钥加密吗?或者用更安全的方式储存它?
(只要应用程序只从Facebook请求基本的令牌范围,并且应用程序有充分的理由存储令牌)
浏览 0提问于2012-10-27得票数 11
我正在尝试使用带有.NET (DotNetOpenAuth)的OAuth通过web应用程序向Twitter帐户发送更新。我了解OAuth和推特的基本工作流程。
如果它在服务器web应用程序中有用,我会感到困惑。我不想要任何用户交互。但在应用程序启动后,需要重新创建请求令牌和访问令牌。这涉及到用户交互。
我的案例的正确工作流程是什么?是否将请求令牌或访问令牌存储在配置文件中?或者是最简单的方式,使用HTTP基本身份验证?
谢谢
浏览 0提问于2010-01-07得票数 0
回答已采纳
4回答
我正在开发的一个应用程序允许用户登录到支持OAuth的后端。因此,应用程序只能访问身份验证令牌和用户元数据,而不能访问用户的凭据。
在应用程序中,用户可以点击在浏览器中打开链接的链接。这些资源也受到OAuth的保护,在登录原生应用时获得的令牌也与web相关。
我希望用户的凭据以标准的OAuth方式(通过将其作为Authorization标头包括在内)从本机应用程序流向web浏览器。
似乎安卓通过它的功能促进了这一点,但我找不到与iOS相同的功能。我确实找到了特性,但这似乎需要了解用户的凭据。
如何将OAuth令牌从我的本机应用程序传递到它打开的web浏览器?
浏览 2提问于2017-03-31得票数 18
我有一个应用程序制作的推特账户,现在它已经安装好了,这样学生们就可以从我们的网站上发推文了,因此他们的推文在推特底部显示“通过SchoolAppNameHere”。
是否有可能使用Twython使用Appkey和秘密密钥,然后从完全不同的地方获得auth令牌,所以当我运行下面的代码时,它会从一个没有创建应用程序的帐户中发布.
from twython import Twython
APP_KEY = ''
APP_SECRET = ''
OAUTH_TOKEN = ''
OAUTH_TOKEN_SECRET = ''
twit
浏览 1提问于2013-12-08得票数 3
回答已采纳
1回答
我将我的web应用程序与集成在一起,为此,我使用jersey创建了一个java。
当我订阅一个事件时,我会得到一个包含oauth值(键和秘密)的映射来对我的请求进行签名,并得到一个事件url,我会向其发出一个标记fetch。
我得到的那些值(oauth和eventurl)与预期的一样。
现在,当我尝试使用库发出一个签名的fetch时,我使用以下代码:
OAuthConsumer consumer = new DefaultOAuthConsumer(consumer_key, secret);
// create an HTTP request to a protected resource
浏览 1提问于2016-05-26得票数 3
回答已采纳
3回答
我正在尝试将oauth与稀有分支Ruby gem一起使用。我一直收到错误:
Consumer的实例需要具有方法`marshal_load
我的代码activate.rb如下所示。对如何解决这个问题有什么想法吗?谢谢!-Henry
require 'oauth/consumer'
def index
@consumer = OAuth::Consumer.new("CONSUMER KEY","CONSUMER SECRET", {
:site => "http://api.netflix.com",
浏览 1提问于2009-01-23得票数 4
我将omniauth保存在auth变量中,如下所示
auth = request.env["omniauth.auth"]
当我检查它时,如下所示
puts auth.inspect
它给了我
#<OmniAuth::AuthHash credentials=#<OmniAuth::AuthHash secret="ouAWj4Hvb9qwKiDDd66ewI8Hq8pDHj8dtfgdlmvdeJDSxY8" token="136631281-Ruduz2BesDwNwcBlwCaV90H358LCA0rCfLonMCE9"
浏览 0提问于2013-04-22得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
