OpenID访问令牌在body中发送,放在header中
OpenID访问令牌是一种用于身份验证和授权的令牌,用于访问受保护的资源。在使用OpenID Connect协议进行身份验证和授权时,访问令牌可以通过两种方式发送:放在请求的body中或放在请求的header中。
- 在body中发送: 将OpenID访问令牌放在请求的body中是一种常见的方式。在进行身份验证和授权时,客户端会将访问令牌作为参数添加到请求的body中,通常使用"access_token"作为参数名。服务器端会解析请求的body,提取出访问令牌进行验证,并根据令牌的有效性和权限来决定是否授权请求访问受保护的资源。
- 在header中发送: 另一种常见的方式是将OpenID访问令牌放在请求的header中。通常,客户端会在请求的header中添加一个名为"Authorization"的字段,并使用"Bearer"作为认证类型,后面跟着访问令牌。例如,Authorization: Bearer <access_token>。服务器端会解析请求的header,提取出访问令牌进行验证,并根据令牌的有效性和权限来决定是否授权请求访问受保护的资源。
无论是将OpenID访问令牌放在body中还是放在header中,都需要确保请求的安全性,以防止令牌被恶意截获和滥用。此外,还需要注意令牌的有效期,及时更新和刷新令牌,以保证访问的连续性和安全性。
腾讯云提供了一系列与OpenID Connect相关的产品和服务,例如腾讯云身份认证服务(CAM),用于管理和控制用户的身份和权限;腾讯云API网关,用于对外提供API服务并进行身份验证和授权;腾讯云访问管理(TAM),用于管理和控制用户对云资源的访问权限等。您可以通过访问腾讯云官方网站(https://cloud.tencent.com/)了解更多关于这些产品的详细信息和使用指南。
相关·内容
2回答
OpenID连接JWT令牌包含一个id_token和一个access_token (类似于"access_token": "SlAV32hkKG")。access_token是用来做什么的?
答案示例
只是添加一个例子来补充从获得的答案
用户信息端点请求
GET /userinfo HTTP/1.1
Host: openid.c2id.com
Authorization: Bearer SlAV32hkKG
用户信息端点响应
HTTP/1.1 200 OK
Content-Type: application/json
{
"sub"
浏览 7提问于2017-11-04得票数 3
回答已采纳
在的文档中
..。它指出,对令牌请求的成功响应如下:
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik5HVEZ2ZEstZnl0aEV1Q...",
"token_type": "Bearer",
"expires_in": 3599,
"scope": "https%3A%2F%2Fgraph.microsoft.com%2Fmail.read",
"
浏览 1提问于2017-02-11得票数 0
回答已采纳
对于这个,我有一个确切的情况:将csrf保护与RESTful API相结合的一些可行技术是什么?
一个给出了关于使用
使用SSL applicationOAuth 1 API密钥的基本身份验证
我已经确信实现OAuth2.0时,每个应用程序都有access_token、client_id、client_secret。
然而,我不知道这实际上会有助于防止中央应急基金。
我的观点是,最终,您仍然需要ssl。
因为在OAuth2.0中,当客户端应用程序代表资源所有者发送请求时,它们需要与数据参数(如client_id、client_secret和access令牌)一起发送。
如果没有HTTPS,如果
浏览 1提问于2012-06-12得票数 2
回答已采纳
我不太明白为什么oauth2用于自动化,OpenID连接用于身份验证。
来自
授权服务器在成功地authenticating资源所有者并获得授权之后,向客户端发出访问令牌。
另一方面,根据代理或依赖方被重定向到某种身份验证页面,以便能够认证用户,不是吗?
此外,我一直读到OpenID连接是建立在Oauth2上的,以便为Oauth2提供身份验证机制。是对的吗?
浏览 3提问于2017-11-23得票数 1
回答已采纳
1回答
我正在开发REST。目前,我正试图使它的最低安全。我之所以问这个问题,是因为我找到的大多数关于这个问题的帖子都很旧。
为了进行身份验证,我发现了以下方案:
基本认证
AWS认证协议
OpenID
OpenID连接
OAuth伪认证
基本身份验证和AWS身份验证维护在第一次身份验证之后进行身份验证的请求,因为它们总是发送签名的请求。
我不明白OpenID和OAuth身份验证是如何维护(第二)请求的?是否需要根据每个请求使用OAuth/OpenID服务器检查访问令牌?这如何保护REST不接收已更改的请求?
任何其他的计划,你推荐,建议或阅读材料有关的主题,永远欢迎。
浏览 3提问于2013-02-12得票数 2
回答已采纳
假设我有一个本地应用程序需要发出请求的web。这个API需要验证通过本机应用程序发出这些请求的用户是谁。OpenID连接似乎是正确的选择,因为它是关于身份验证而不是使用OAuth的授权。
本机应用程序向IDP发送用户凭据,并获取访问令牌(用于授权)和id令牌(用于身份验证)。根据我对OIDC的了解,访问令牌将被发送到API,但id令牌只用于本地客户端应用程序。这对我来说毫无意义,因为是API关心的是用户,而不是本地应用程序。
那么,为什么id令牌也不传递给受保护的资源(也就是API)?如果您不将id令牌传递给API,那么如何保证访问令牌是安全的,并可用于验证用户?否则,它似乎失去了在OAuth
浏览 0提问于2017-08-17得票数 5
回答已采纳
因此,使用基本身份验证,我可以看到简单地使用UserDetailsService实现的价值,它基本上只是加载用户并确认它们是经过身份验证的。
然而,我现在想使用oAuth2,并且不确定我在这个问题上的想法是否完全错误。使用oAuth2不会消除对UserDetailsService实现的需求吗?因为从本质上来说,授权服务器是负责检查用户是否存在的(使用Resource密码流),然后向用户发送一个JWT。
一旦用户拥有了这个访问令牌并可以与每个请求一起发送它,就必须有另一种方法将用户身份验证到AuthenticationManager中,而不是重复工作和检查,以确保UserDetailsServi
浏览 0提问于2017-05-26得票数 1
回答已采纳
好的,寻求一些指导
我正在考虑设置一个中央认证和授权服务器,以便使用DotNetOpenAuth登录和访问我们的Api。
到目前为止
OpenId ->认证
OAuth ->授权行..。然后就会变得凌乱。
OpenId对OAuth有一个扩展。(那么连接和Auth2.0有多大的需求呢!)
OpenId连接有点像Auth2.0吗?
OAuth2.0允许身份验证
提到OAuth2.0有一个新的用户名&密码流
用户名和密码流-在用户信任客户端处理其凭据但客户端仍然不希望存储用户的用户名和密码的情况下使用。只有当用户和客户端之间存在高度信任时,此流才适合。
但从谷歌提到的
浏览 5提问于2012-10-18得票数 4
我正在尝试访问一个由应用ID服务实例保护的rest。我尝试过两种访问rest资源的方法,但是每次我都会将<title>Redirect To OP</title>重定向为响应,而不是实际的资源。
1.方法1
使用云目录用户&和grant_type=password作为令牌端点
1.1我在云目录中添加了一个用户和密码。
1.2HTTPPOST以<oauthServer>/token端点作为基本身份验证和grant_type=password、username=<cloud_direcotry_user>、password=<passw
浏览 2提问于2018-10-07得票数 0
人民,
请你为我澄清这两种方法的区别和目的:
Microsoft.Extensions.DependencyInjection.OAuthExtensions.AddOAuth();Microsoft.Extensions.DependencyInjection.OpenIdConnectExtensions.AddOpenIdConnect().
根据名字,一个用来授权,另一个用来认证用户,对吗?因此,如果我的mvc应用程序需要知道谁是用户,我需要使用.AddOpenIdConnect()来获取id_token?如果我需要代表当前用户从mvc应用程序调用资源服务,我需要添加.AddOAuth
浏览 0提问于2020-01-28得票数 4
回答已采纳
在我们的web应用程序(ASP.NET)中,我们通过授权代码流使用OpenID连接:
用户被重定向到身份提供者(例如Azure AD),认证,
授权代码是POSTed返回到我们的web应用程序中的一个页面。
然后,我们的web应用程序使用授权代码从身份服务器检索刷新令牌、id令牌和访问令牌。它们以cookie的形式存储在客户端上(将HttpOnly标志设置为true)。这是为了避免对服务器状态的依赖,以防用户被负载均衡器路由到另一个web服务器。
当用户访问页面时,我们验证ID令牌的签名和有效期,并根据应用程序中的用户数据库检查我们使用的身份声明(例如电子邮件地址或UPN)。
浏览 1提问于2018-11-12得票数 2
回答已采纳
1回答
我有一个由rest服务器支持的SPA应用程序。
我使用Auth0进行身份验证和授权,使用隐式授予流。
我读到的所有示例都解释说,我应该将接收到的访问令牌发送到api以进行授权。例如:
另一方面,我看到访问令牌不能用作身份验证的证据:
这意味着,我不能信任我访问令牌上的子声明,以确保这确实是用户,而不是发送其访问令牌的另一个客户端。这意味着,如果我使用facebook作为IDP,另一个web应用程序可以向我的服务器发送一个用户发给它的访问令牌,而且由于访问令牌没有aud声明,我的服务器会认为用户在我的web应用程序中是经过身份验证的。此外,我看到google的登录确实引导spa向服务器发送
浏览 3提问于2018-01-08得票数 9
回答已采纳
1回答
在通过login.microsoftonline.com对自己进行身份验证之后,我有一个来自Azure的JWT,它具有https://sts.windows.net/...的iss值(经过一些研究,这似乎是由于JWT的"ver": 1.0 )。为了获得https://login.microsoftonline.com/...发布的JWT,我更新了应用程序的报表,使accessTokenAcceptedVersion被设置为2,而不再是默认的null。
我等待了5个多小时,但是我还是得到了错误的令牌版本,我一直用"ver": 1.0和"iss":
浏览 1提问于2021-01-21得票数 2
回答已采纳
我有一个API服务器(资源服务器)和多个应用程序,Web (SPA)和桌面客户端,也许还会有更多的应用程序。除了我的API服务器的http基本身份验证之外,我还想使用openid-connect。它应该是可配置的openid提供者要使用的。我自己的facebook谷歌..。我只想做认证,我不需要他们的API。我只需要一些个人资料,如电子邮件或名字。
假设我已经将谷歌配置为我的IdP,并且我目前正在使用Web (SPA)。我需要登录,没有问题,根据,我将用户重定向到谷歌,获得我的授权代码,Web (SPA)从谷歌获得一个id_token和access_token。
到目前为止没有问题,但是现在S
浏览 4提问于2017-07-21得票数 7
回答已采纳
给定单独的spring-security-oauth2授权和资源服务器:
我期望授权服务器的/oauth/check_token端点在Authorization头中接受来自资源服务器的持有者令牌,但它只接受Basic身份验证。注意:我指的是请求身份验证令牌,而不是要检查的令牌。
我认为OAuth2AuthenticationProcessingFilter负责提取和验证Authorization: Bearer ...,但基于javadoc,它似乎只被资源服务器用来验证来自用户或其他客户端的请求。
在与授权服务器通信时,资源服务器是否应该始终提供Basic身份验证?最佳实践是什么?如果可以接受
浏览 2提问于2019-05-08得票数 1
1回答
我已经为pkce (v7x)建立了oidc提供程序。当我做以下事情时:
使用response_type=' code‘从/auth请求代码
使用代码获取令牌形式的/token和grant_type=authorization_code
接收令牌,如图所示:
{
access_token: "a8DM82TgXF-cjlzH8yOjuK6_OF9h_JaYJjSPrAdCRG0"
expires_in: 86400
id_token: "eyJhbGci....FQg"
scope: "openid"
token_typ
浏览 7提问于2022-02-19得票数 1
1回答
我们有用AngularJS开发的前端和NodeJs中的后端API。我们使用Azure进行身份验证。前端角使用 javascript库进行azure身份验证。因此,当用户访问网站时,他会被重定向到,而在成功的身份验证之后,他会被重定向回我们的网站。到目前一切尚好。
我必须使用库来保护后端api。只有前端才会调用这些API。使用此库有两种策略可用
1> OAuth2Bearer策略
开放ID连接的2> OIDCStrategy
我的印象是Azure默认使用OpenID连接进行身份验证。因此,我计划使用OIDCStrategy作为保护Node。
但是,在fiddler中,我看到以下请求客
浏览 2提问于2016-04-15得票数 10
回答已采纳
我对使用OAuth 2.0作为授权方法和使用OpenID连接作为身份验证方法感到困惑。
据我所知,OAuth 2.0只是一种授权方法。换句话说,这是请求一个ACCESS_TOKEN并接收这个ACCESS_TOKEN的过程,如下面的黄色椭圆图所示:(简化)
在OAuth 2.0客户端从授权服务器检索ACCESS_TOKEN之前,该服务器应该验证用户是否允许它,这是一个OAuth 2.0不关心的身份验证过程。
当OpenID连接包含在混合中时,它也允许一个身份验证方法,但据我所知,OpenID连接只是在JWT令牌中添加了一个“声明”,该令牌保存了使用该服务的用户的信息,如:电子邮件、名称
浏览 0提问于2018-07-17得票数 6
回答已采纳
2回答
我有一个Azure函数设置与一个Web触发器端点,我想使用作为我的后端一个反应应用程序。如果没有身份验证设置,它就可以正常工作。当我使用AD设置Authentication时,当我通过浏览器直接访问时(在身份验证之后),它工作得很好,但是当我试图从提供Bearer令牌的JS访问时,我得到了一个401。
const response = await axios.get(`${window.apiUrl}api/jobs`, {
headers: {
'Content-Type': 'application/json',
Author
浏览 5提问于2020-02-06得票数 0
在部分中声明,客户端必须向标识提供者的/token路由发送POST请求,以便将授权代码交换为令牌。
这里显示的示例如下所示:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2
浏览 3提问于2017-02-10得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
