Open ID连接会话管理访问/刷新令牌与会话iFrame

文章/答案/技术大牛

发布

1回答

session、oauth-2.0、openid、openid-connect

我们希望实施正确的Open ID Connect规定的方法/工作流程，以保持用户登录到网站。现有的实现查看访问令牌的过期时间，如果即将过期，则使用刷新令牌来获取新的访问令牌，以保持用户登录。当用户登录到web应用时，身份令牌用于通过授权码工作流对用户的身份进行身份验证。访问令牌和刷新令牌存储在服务器端。刷新令牌定期用

浏览 15提问于2019-04-12得票数 0

3回答

打开ID连接会话管理访问/刷新令牌与会话iFrame

web-applications、security、oauth2、openid

我们有一个web应用程序，允许用户使用任何开放ID提供商(如Okta、Google、Facebook等)登录应用程序。我们希望实现正确的开放ID连接指定的方法/工作流，以保持用户登录到网站。访问令牌和刷新令牌存储在服务器端。定期，刷新令牌用于获取新的访问令牌，以保持用户登录到站点。我认为这是一个安全风险，因为- 想象一下，如果一个用户在浏览器中登录了他的OP帐户。他将继续在这个刷新

浏览 0提问于2019-04-11得票数 0

1回答

如果刷新令牌已过期，为什么我仍然可以请求访问令牌？

angular、asp.net-core、asp.net-web-api、identityserver4、angular-auth-oidc-client

我有一个与刷新令牌相关的问题。如果启动Angular客户端，在20秒后，“静默续订”开始并请求新的访问令牌，这是有意义的，因为这大约是30秒访问令牌生命周期的75% )。它会得到一个新的访问令牌，然后一切都会继续工作。这意味着它不再刷新访问令牌，实际上，在一段时间后，我对web api的调用会因为访问令牌过期而失败。现在，几分钟后我重新启动了“

浏览 14提问于2019-12-23得票数 1

4回答

是否联机应用程序所需的刷新令牌？

oauth-2.0、openid-connect

对于每个，似乎只有离线应用程序(当用户不在时可能运行到过期访问令牌的应用程序)才需要刷新令牌。 ..。当用户不在场时，请求离线访问是任何需要访问Google的应用程序的要求。例如，执行备份服务或在预定时间执行操作的应用程序需

浏览 6提问于2017-04-28得票数 18

1回答

如何对OpenID连接进行会话管理？

javascript、java、security、session、authentication

我试图在auth中使用OpenID连接，但我不知道如何在从ID令牌中获取、提取和验证信息之后如何进行会话管理。 1.将ID令牌或访问令牌发送到客户端(browser/javascript)，将其存储在会话存储中，并仅通过https发送到身份验证标头中的服务

浏览 1提问于2016-07-06得票数 0

1回答

火力基地在1小时后到期

firebase、firebase-authentication

我能够允许用户使用电子邮件和密码登录到Firebase。我遵循以下说明：

浏览 1提问于2019-09-30得票数 13

1回答

使用授权代码流+ PKCE在SPA中使用刷新令牌的安全含义是什么？

oauth、oauth2、openid-connect

这个新流将为SPA提供一个未过期的刷新令牌。我环顾四周，没有找到关于这件事的明确解释。谢谢!

浏览 0提问于2019-08-02得票数 2

回答已采纳

1回答

MSAL浏览器刷新令牌

refresh-token、msal.js

在MSAL浏览器中，acquireTokenSlient get在每次调用令牌终结点时都会刷新令牌。第一个刷新令牌的持续时间为1天。后续的刷新令牌都缩短了(剩余的)过期时间。在刷新令牌最终到期之后，如果存在AD会话，则在进行令牌调用之前在iframe中返回授权码。如果身份验证代码的静默检索失败，我们必须使用交互式方法调用。现在，AD会话通常持续一天。那么，我们是

浏览 3提问于2021-03-31得票数 1

1回答

Azure B2C中的KMSI实际上是做什么的？

azure-ad-b2c、refresh-token、pkce

它是否为客户端提供了一个新的ID令牌而不需要重新使用？他提到了由<e

浏览 0提问于2020-11-15得票数 8

回答已采纳

1回答

是否有办法结束主题ID的所有会话？

identityserver4

我想做的是在用户更改/重置密码时(使用核心标识)结束用户的所有会话。我正在使用SPA内部的oidc客户端js库。我已经知道如何结束用户的当前会话，并使同一会话中的任何选项卡(例如，同一浏览器窗口中的其他选项卡)通过check会话iFrame来识别会话，但任何其他会话(例如在匿名窗口中)似乎仍然具有会话功能，即使它们的刷新令牌/该主题ID的所有持久化授权都已被撤销。是否有办法使<e

浏览 3提问于2020-08-31得票数 0

1回答

Jwt身份验证和会话管理的更好方法

authentication、session、redis、jwt

我有一个关于JWT身份验证和会话管理的问题。我读过两种方法，并想知道哪种方法更适合每月10k到20k的用户登录。第一:-在第一个过程中，刷新令牌由一个custom key=user.id +tokenhash组成(令牌散列是一个随机字符串，在更改密码时更改)，并且刷新令牌没有过期。第二，使用uuid创建刷新令牌和访问令牌，然后存储在Redis中供会话使

浏览 3提问于2022-02-21得票数 0

2回答

Azure ADAL id_token

owin、azure-active-directory、openid-connect、adal

我们在身份验证过程后收到的响应有id_token和授权代码。我们还希望获得刷新令牌，以便在id_token过期后可以获得新的令牌。因此，在AuthorizationCodeReceived处理程序中，我们使用ADAL库中的AcquireTokenByAuthorizationCode方法来获取刷新令牌。响应包含id_token、access_token和refresh_token。然后我们使用refersh_token获得新的id_

浏览 4提问于2014-12-04得票数 5

回答已采纳

1回答

通过刷新令牌获取新访问令牌的WSO2标识服务器中的令牌刷新端点是什么？

wso2、wso2-identity-server

1.通过刷新令牌获取新的访问令牌，WSO2标识服务器中的令牌刷新端点是什么？3.还可以从服务器端延长用户会话超时时间。4.访问令牌过期时间与用户会话超时时间之间是否有任何关系？"expires_in":3545 5.是否有办法避免用户会话超时。

浏览 3提问于2021-03-26得票数 0

2回答

如何通过JavaScript验证Azure Active Directory过期或未过期

jquery、azure、azure-active-directory

我们在IFrame中呈现我们的应用程序。应用程序在Azure Active Directory中受到保护。每当访问令牌过期，或者用户第一次访问时，Azure Active Directory登录或同意窗口都不会显示在IFrame中，因为X-Frame-Option对于AAD屏幕是拒绝的，有没有办法使用JS知道会话已经过期如果会话到期，则显示带有AAD登录页面弹出屏幕。我们正在尝试获取基于刷新令牌的访问令牌</

浏览 1提问于2017-07-18得票数 2

1回答

为什么没有网站使用OAuth？

authentication、cookies、oauth、openid-connect

oauth，openid连接。处理身份验证的集中式方式，并具有授权和身份验证服务器。是否有任何安全特性使cookie比令牌更安全？你知道有什么大网站使用oauth来维护会话，而不仅仅是为了使用社交网络登录吗？

浏览 2提问于2022-08-18得票数 0

1回答

Firebase:无需用户重新登录即可管理用户与服务器的会话？

firebase、firebase-authentication、google-cloud-functions、firebase-admin

，他将在其中传递注册的电子邮件和密码，我们将使用Firebase SignInWithPassword (Firebase Admin SDK / Firebase REST API)进行验证，并返回ID令牌/刷新令牌。问题是ID令牌的有效期很短(1小时到期)，在此之后VerifyIdToken将失败。现在，我们不希望接口用户再次调用SignIn接口来获取新的ID token / RefreshToken，或者访问我们的网

浏览 0提问于2019-08-11得票数 1

1回答

OpenID连接会话管理- ID令牌可以被撤销吗？

access-token、jwt、openid-connect

在OpenID连接中，ID令牌是一个加密签名的独立令牌，它允许资源所有者在不调用授权服务器的情况下授权访问。因此，如果授权服务器不需要验证令牌，那么如何在会话管理场景中撤销令牌？似乎唯一可以撤销的是刷新令牌，此时ID令牌将过期，用户将不得不重新身份验证。这是正确的吗？此外，OpenID连接提供程序/服务器在传递令牌时存

浏览 1提问于2015-09-11得票数 2

回答已采纳

2回答

Cognito用户的访问令牌在服务器端可用吗？

amazon-web-services、amazon-cognito、aws-amplify、amazon-cognito-triggers

为此，我计划跟踪数据库中的会话(我可以使用Go on PostAuthentication_Authentication或TokenGeneration_RefreshTokens events中编写的Cognito Lambda触发器捕获会话的开始或刷新)，并在一段时间不活动后使用GlobalSignOut使会话过期，但是为了在会话放弃时使用户刷新令牌无效，我需要访问令牌，它似乎只对客户端可用。我也不确定如何在客户机上获取刷

浏览 42提问于2020-07-22得票数 2

3回答

我们如何使用msal更新idtoken？

azure-active-directory、azure-ad-b2c、msal、msal.js

流程是用户登录，获取idtoken (用于对我的api进行授权)，使用acquiretokensilent方法获取访问令牌(用于图形api)。我发现它不会在浏览器存储中被刷新。所以我的问题是，有没有什么办法可以更新id令牌并让用户保持登录状态？任何帮助都是最好的。

浏览 6提问于2018-08-16得票数 9

1回答

AWS ALB认知JWT/OIDC认证

amazon-web-services、authentication、jwt、amazon-cognito、aws-application-load-balancer

我们正在尝试将AWS ALB与认知用户池集成在一起。我们在ALB中有设置规则来验证用户与认知客户端之间的关系。在webapp身份验证之后，将设置会话cookie。一切都很好。现在，我们有了一个桌面应用程序，它可以在内部连接认知，获取访问令牌JWT并管理它(刷新等等)。现在，我们试图使用此访问令牌作为授权头向ALB发送http请求。此外，桌面应用程序是否有可能直接使用ALB (而不是Cognito)并使用会话<

浏览 4提问于2021-12-28得票数 2

点击加载更多