腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
这一用户身份验证过程是否合理?
reactjs
、
architecture
、
jwt
、
access-token
、
refresh-token
我一直在开发与安卓、iOS、RESTful浏览器等跨平台客户端进行通信的Web服务器。 当用户使用用户名和密码成功登录时,此服务器将发出访问令牌(JWT,5分钟)和刷新令牌(GUID,20天)。 当我们开发与服务器通信的安卓客户端应用程序时,我们只需将这些令牌存储在移动设备中,我相信这在安全性方面不会有问题(使用SharedPreferences)。 但当涉及到Web浏览器(React App)时,我必须解决在哪里存储这些令牌的问题。最后,我决定使用HttpOnly Cookie,因为我可以轻松地管理CSRF攻击而不是XSS。 很快,我怀疑这是一个典型的设计。例如,web浏览器用户不能随时注销
浏览 0
提问于2018-11-07
得票数 0
1
回答
Google Identity Toolkit和facebook
facebook
、
google-identity-toolkit
我正在为android开发一个应用程序,它将利用谷歌身份工具包进行身份验证。此外,从认证中获得的令牌将被中间服务器用来从用于认证的应得社交网络(例如Facebook)检索朋友列表。为此,我假设我需要一个从Google developer console检索到的Web应用程序的OpenID,对吗?然后,中间服务器将有一个rest api供android应用程序联系和执行登录? 在Facebook上,我是否应该配置两个不同的应用程序?一个是网络版,另一个是安卓版。 体系结构将类似于: 亲切的问候
浏览 4
提问于2015-06-11
得票数 0
1
回答
何时将访问令牌与刷新令牌交换
android
、
ios
、
concurrency
、
oauth-2.0
、
network-programming
我知道使用OAuth2的流程是: 在短暂的访问令牌到期(服务器返回401)之后,客户端必须使用刷新令牌请求一个新的令牌。 要在iOS (带AFNetworking)或安卓(带Volley)应用程序中实现它,我想网络管理器必须能够检测返回的401错误,然后向认证服务器发送请求。 问题在于网络的并发使用。考虑访问过期的场景,应用程序发送两个请求: req1和100ms后的req2。在时间线上绘制,这看起来像: req1 --> 401 --> (refresh req) --> OK, new access and fresh tokens --> retry req1
浏览 22
提问于2019-01-15
得票数 0
1
回答
什么OpenID连接流对我是对的?
.net
、
mvc
、
authentication
、
oauth2
、
openid
这是交易。我有一个.NET MVC5 web应用程序,正在升级到OpenID连接标准。 我还希望能够访问移动应用程序(很像API)中的控制器方法来发送和接收JSON数据。 如果我正确理解它,隐式流会让客户机从id_token提供程序中检索一个OpenID以进行身份验证。在移动应用程序中,如果我为与我的web应用程序的id_token相匹配的client_id检索一个client_id,我应该能够使用它来使用我的web后端验证应用程序,对吗? 授权代码流给我一个访问令牌,它允许我检索刷新令牌,这样我就可以在更长的时间内保留授权。这个授权会自动应用到我的web后端吗?还是我也必须平我的网站,以便它
浏览 0
提问于2015-04-21
得票数 2
回答已采纳
1
回答
REST身份验证(维护经过身份验证的状态)
api
、
rest
、
oauth
、
openid
、
oauth-2.0
我正在开发REST。目前,我正试图使它的最低安全。我之所以问这个问题,是因为我找到的大多数关于这个问题的帖子都很旧。 为了进行身份验证,我发现了以下方案: 基本认证 AWS认证协议 OpenID OpenID连接 OAuth伪认证 基本身份验证和AWS身份验证维护在第一次身份验证之后进行身份验证的请求,因为它们总是发送签名的请求。 我不明白OpenID和OAuth身份验证是如何维护(第二)请求的?是否需要根据每个请求使用OAuth/OpenID服务器检查访问令牌?这如何保护REST不接收已更改的请求? 任何其他的计划,你推荐,建议或阅读材料有关的主题,永远欢迎。
浏览 3
提问于2013-02-12
得票数 2
回答已采纳
2
回答
认知-用户池应用集成和联邦-如何刷新id_token?
amazon-web-services
、
aws-sdk
、
amazon-cognito
我正在使用AWS的一个新功能,它是一个与用户池集成的应用程序,更多细节见。这里有一个例子,在这个例子中,我可以得到id令牌,访问令牌,但是刷新令牌是空的。 我查看了Amazon > Amazon引用->引用->授权终结点中的文档。 对于没有openid的范围 “亚马逊认知授权服务器使用访问令牌重定向回您的应用程序。由于未请求openid范围,因此不返回ID令牌。--刷新令牌从未在此流__中返回。令牌和状态将在片段中返回,而不是在查询字符串中返回。” 对于使用openid的范围 “授权服务器使用访问令牌和ID令牌重定向回应用程序(因为包含了openid范
浏览 7
提问于2017-09-10
得票数 1
回答已采纳
1
回答
安卓和iOS gcm instanceID
android
、
ios
、
google-cloud-messaging
在iOS和安卓上的不同行为 我们一直在尝试在安卓和iOS上实现GCM,但与instanceID在行为上存在差异。 在安卓和iOS上,当我们每次注册应用程序时,我们都会得到相同的令牌,如果我们不卸载并重新安装应用程序,这是真的,如果我们这样做了,我们在这两个应用程序上都有了一个新的实例ID,但旧的安卓令牌变成了NOT_REGISTER,而iOS上的旧令牌仍然有效,让我们在同一个安卓设备上发送1条消息(ok),为同一个iOS设备发送2条消息(不ok)。 旧的iOS instanceID不应该像在安卓上那样是NOT_REGISTER吗?
浏览 1
提问于2015-10-24
得票数 0
1
回答
如何发送用户凭据并获取访问令牌?
8
我将一个Drupal站点链接到一个Android应用程序。在简单OAuth模块的帮助下,用户将使用他们的Drupal站点凭证登录到我的安卓应用程序。 我了解到,一旦客户端应用程序拥有了访问令牌,它就可以包含在任何GET请求的头中,以便从Drupal获取JSON内容。我还知道,https://example.com//simple-oauth/refresh将提供一个新的访问令牌,具有刷新令牌。 如果访问和刷新令牌都已过期,该怎么办?我怎么才能从头开始?要请求令牌的URL是什么?我如何通过HTTP头或URL将凭据包含其中? 有什么事我不知道这种认证方式吗?
浏览 0
提问于2016-09-18
得票数 3
1
回答
OAuth身份验证和消费者秘密
security
、
authentication
、
oauth
、
oauth-2.0
我有一个网络服务,充当智能手机应用程序的后端。 我希望能够尽可能不痛苦地对用户进行身份验证,但尽管我认为我理解OAuth,但我必须承认,这里和那里都有遗漏的地方。 Authentication: 假设用户有一部Android手机。他可能已经通过Google认证了,如果我能把这个身份验证扩展到我的webservice,那就太好了。安卓拥有OAuth支持,因此用户可以打开他的应用程序,授予使用他的谷歌账户的权限,并且该应用程序可以对他进行网络服务认证。 Web服务 由于该服务应该接受来自各种设备的用户,所以它不应该是Google特有的。应该可以注册一个帐户,并从任何设备登录。我不确定是否可以单独在
浏览 3
提问于2013-01-22
得票数 0
2
回答
OpenID连接:验证用户ID令牌或访问令牌的正确方法?刷新ID标记?
asp.net
、
authentication
、
openid-connect
、
refresh-token
在我们的web应用程序(ASP.NET)中,我们通过授权代码流使用OpenID连接: 用户被重定向到身份提供者(例如Azure AD),认证, 授权代码是POSTed返回到我们的web应用程序中的一个页面。 然后,我们的web应用程序使用授权代码从身份服务器检索刷新令牌、id令牌和访问令牌。它们以cookie的形式存储在客户端上(将HttpOnly标志设置为true)。这是为了避免对服务器状态的依赖,以防用户被负载均衡器路由到另一个web服务器。 当用户访问页面时,我们验证ID令牌的签名和有效期,并根据应用程序中的用户数据库检查我们使用的身份声明(例如电子邮件地址或UPN)。
浏览 1
提问于2018-11-12
得票数 2
回答已采纳
2
回答
在OAuth 2.0中,资源所有者密码证书授予类型的目的是什么?
authentication
、
oauth-2.0
、
authorization
基于我的的答案 好的,OAuth 2.0是一种授权协议,但是当您使用ROPC (资源所有者密码证书)授予类型时,我理解它,您是指认证和授权,不是吗? OpenID是否仍然适用于ROPC?仍然有点混淆了OAuth 2.0、ROPC和OpenID
浏览 0
提问于2016-08-26
得票数 1
回答已采纳
2
回答
如何在没有用户id的情况下将设备令牌存储在Firestore中?
firebase
、
google-cloud-firestore
、
firebase-cloud-messaging
我需要在Firestore中存储设备令牌,使用Firebase函数向我的iOS和安卓用户发送推送通知。 我读到的最佳实践是使用Firebase用户id Auth.auth().currentUser.uid: 用户 {uid} {令牌} 但我的应用程序还没有用户认证。所以我没有{uid}可以使用。 我该怎么做?
浏览 3
提问于2020-06-26
得票数 0
回答已采纳
1
回答
谷歌OpenID连接用户授权
google-oauth
、
openid-connect
、
google-identity
我们有一个SPA应用程序,它支持来自外部身份提供者的OpenID连接登录。我们的应用程序支持不同的用户类型(角色)。我们希望支持使用谷歌身份服务()登录谷歌,但访问令牌似乎只适用于Google (我们希望保护自己的API)。ID令牌是我们可以验证的JWT,但是在我们可以用于授权的声明中没有任何东西。 是否可以将自定义声明添加到我们可以用于授权的Google令牌中? 从上面的链接..。 本文档描述了我们用于身份验证的OAuth 2.0实现,它符合OpenID连接规范,并且是经过OpenID认证的 我猜这意味着他们只支持认证而不支持授权?这是真的吗?或者,我们还需要使用其他Google服务来获取
浏览 0
提问于2022-05-25
得票数 1
2
回答
基于OAuth2的认证通信b/w Android应用程序与GAE服务器
android
、
google-app-engine
、
oauth-2.0
对OAuth2来说是新手。我正在编写一个与app服务器应用程序通信的Android应用程序。 应用程序需要使用用户的Google信息,代表用户对服务器进行身份验证。服务器需要检索用户的基本信息并创建一个帐户。这是很简单的部分,我知道如何做this.Furthermore,,安卓应用程序还会让用户使用Oauth2认证自己,并使用用户的Google信息检索基本的用户信息。我可以这样做,因为well.This是我需要帮助的地方,假设前面的步骤已经成功完成,我如何使用安卓应用程序(用户已经登录)来使用用户凭据安全地与服务器通信。 有什么想法吗,还是我遗漏了一些显而易见的东西?
浏览 7
提问于2012-05-18
得票数 1
1
回答
OAuth2.0中的身份验证及其与OpenId的工作方式
.net
、
openid
、
oauth-2.0
、
dotnetopenauth
好的,寻求一些指导 我正在考虑设置一个中央认证和授权服务器,以便使用DotNetOpenAuth登录和访问我们的Api。 到目前为止 OpenId ->认证 OAuth ->授权行..。然后就会变得凌乱。 OpenId对OAuth有一个扩展。(那么连接和Auth2.0有多大的需求呢!) OpenId连接有点像Auth2.0吗? OAuth2.0允许身份验证 提到OAuth2.0有一个新的用户名&密码流 用户名和密码流-在用户信任客户端处理其凭据但客户端仍然不希望存储用户的用户名和密码的情况下使用。只有当用户和客户端之间存在高度信任时,此流才适合。 但从谷歌提到的
浏览 5
提问于2012-10-18
得票数 4
3
回答
使用JWT和刷新令牌验证移动应用程序
ruby-on-rails
、
authentication
、
oauth-2.0
、
jwt
、
json-web-token
现在我开始在这件事上大做文章了。在过去的几天里,我做了一些研究,但我似乎不太明白如何实现以下目标: 我目前正在用移动应用程序作为客户端在Rails中构建一个API。移动应用程序可以是iOS,也可以是安卓。现在我在为认证而挣扎。在客户端登录到设备上之后,我发布了一个短期过期的JWT。因此,如果令牌过期,客户端需要重新登录,在我的情况下,这是不可接受的UX。无论如何,我觉得我需要有某种过期,以防止令牌被永远使用,如果它被偷了。 现在,我想知道如何集成刷新令牌。如何确保用户只能通过向此设备发出的有效刷新令牌才能获得新的访问令牌?还是我让事情变得过于复杂,分配一个刷新令牌(可以在alle设备上使用)就
浏览 3
提问于2015-11-13
得票数 2
1
回答
grant_type of refresh_token的OIDC标准响应
oauth-2.0
、
authorization
、
openid-connect
目前,我正在使用/token端点获取授权代码流的access token、ID token (包括openid+offline_access作用域)和refresh token。code的值是我在response中从request接收到/authorize端点的authorization code。 同时,为了刷新access token和ID token,我将发送一个带有grant_type of refresh_token的token request。 下面是参考链接,我尝试类似于在我的自定义OIDC应用程序中实现。 如果refresh_token (在令牌端点中添加了openid+off
浏览 0
提问于2022-09-03
得票数 1
2
回答
Salforce登录会话问题
android
、
session
请帮助我为安卓SDk Hi登录会话问题, 我有一个安卓应用程序,我们必须登录使用Salesforce,我们使用 SDK (本地)。以下是会话过期的场景: 1.从移动应用程序成功登录后。2.我可以在android本机 3中看到WebView /customers/one/one.app的链接,但24小时后,我又看到了登录屏幕。 如何保留会话,直到用户手动从我的应用程序注销。请建议一下。
浏览 1
提问于2017-11-08
得票数 2
回答已采纳
2
回答
Facebook:在Android上刷新AccessToken
facebook
、
facebook-graph-api
、
facebook-access-token
、
facebook-authentication
、
facebook-sdk-4.0
他们在上说:“使用Facebook SDKs的本地移动应用程序将获得长时间的访问令牌,有效期约为60天。当使用应用程序的人向Facebook服务器提出请求时,这些令牌将每天刷新一次。” 这是否意味着,只有当对Facebook服务器的请求是从客户端Android应用程序(我不知道如何解释“.使用您的应用程序的人.”)那么访问令牌将被刷新吗? 在我的应用程序中,我使用AccessToken.getCurrentAccessToken()检索访问令牌,将访问令牌发送到我的服务器,服务器向Facebook的服务器发出请求,目的是验证接收到的访问令牌。 在这种情况下,访问令牌也会被刷新吗?(在这种情况下
浏览 4
提问于2015-07-12
得票数 6
回答已采纳
3
回答
如何在没有用户名和密码的情况下验证移动应用程序?
iphone
、
android
、
authentication
、
mobile
、
web-applications
我正在构建一个使用OpenId对用户进行身份验证的Webapp,就像Stackoverlfow所做的那样。移动应用程序也会出现,比如安卓或iPhone。这些应用程序必须以某种方式进行身份验证或登录,以访问数据并更新属于用户的内容。由于无法提供用户名和密码来验证移动设备,我想知道如何实现这一点。 我想到了两种方式: 在服务器上生成一些必须在设备上输入的密钥。当移动设备发送或请求数据时,该密钥将作为auth密钥发送,并且用户可以通过这种方式进行链接。在使用此选项时,应该以某种方式将密钥传输给用户,这样用户就不必键入它。可能是通过电子邮件,短信或者扫描条形码。 移动应用程序使用浏览器或显示一
浏览 0
提问于2010-09-08
得票数 4
回答已采纳
1
回答
从安卓应用获取谷歌AuthSub令牌
android
、
token
、
google-api-java-client
、
authsub
我正在写一个安卓程序,它必须与谷歌文档交互,所以我看了示例,但它使用了AuthSub令牌。如何从安卓应用获取AuthSub令牌?
浏览 3
提问于2012-03-13
得票数 3
回答已采纳
3
回答
OAuth2密码授予与OpenID连接
api
、
security
、
authentication
、
oauth
、
openid-connect
我已经阅读了大量关于OAuth和OpenID连接的文章,但这个问题专门涉及OAuth2资源所有者密码授予(又名OAuth2资源所有者凭据授予,又名OAuth2密码授予)。 一些资源(比如贾斯汀·里奇的"OAuth2 in Action“一书)说,不使用OAuth2资源所有者密码授予进行身份验证()--参见书中的6.1.3节。 其他好的资源,比如下面的,都说我们可以使用OAuth2资源所有者密码授权来通过受信任的应用程序对用户进行本质的身份验证 但是,我很难理解为什么我们不应该使用OAuth2资源所有者密码授权作为认证成功的本质证据? 我对资源
浏览 7
提问于2017-11-23
得票数 6
1
回答
Google.Apis共享访问和刷新令牌
c#
、
oauth-2.0
、
google-api
到目前为止,我只有一个客户端(web应用程序)执行OAUTH2授权流程,然后将访问令牌和刷新令牌都发送到服务器(ASP.NET Web API)。 然后在服务器上,这些令牌将用于对Google API执行几个操作。 到目前为止,一切都很完美,我们需要添加执行相同OAUTH2授权流程的移动客户端。 这需要我在谷歌控制台下添加这些安卓和iOS应用程序。这3个(Web、Android和iOS)都属于同一个项目。 现在问题来了,因为在服务器上我必须使用谷歌给我的json文件(带有clientId和secret),到目前为止,它和webapp使用的是一样的。但现在,由于我们在同一个项目中有了两个新客户端
浏览 2
提问于2018-07-21
得票数 6
1
回答
自定义(非OAuth)刷新令牌实现
authentication
、
oauth
、
oauth-2.0
、
auth-token
我正在开发一个使用基于令牌的身份验证系统的应用程序,在该应用程序中,用户提供其用户名/密码并接收令牌作为回报(令牌也会保存到数据库中)。然后,后续请求将包含此令牌作为自定义标头,我们可以使用此标记来标识用户。这一切都运行得很好。 现在,如果用户在3天内没有登录,我们会使令牌过期。我读了一点关于OAuth中的刷新令牌的内容,我想知道我是否可以以某种方式实现类似的东西。即,当提供认证令牌时,我还提供刷新令牌,稍后可以使用该刷新令牌来请求新的认证令牌。但是,在安全性方面,这看起来非常类似于从一开始就不会使用户的身份验证令牌过期。我是否应该发送带有刷新令牌的附加信息来验证用户?
浏览 7
提问于2015-10-22
得票数 0
1
回答
如果有人窃取了Oath2 flow中的授权代码,会发生什么情况
oauth
、
oauth-2.0
请参考此视频,特别是从20:00到25:00。 他描述的工作流程是:客户端应用程序通过浏览器连接到授权端点。用户输入凭证,身份验证服务器对用户进行身份验证,并使用重定向发送授权码。客户端应用拦截浏览器活动并提取授权码。向令牌端点发出新的请求以及该认证码、客户端id和很少的其他信息。作为回报,app获得访问和刷新令牌。 是什么阻止某人在第一步(比如通过浏览器历史记录)窃取身份验证令牌,然后联系令牌端点以获取访问和刷新令牌?
浏览 1
提问于2019-01-30
得票数 0
1
回答
Openid,如何处理access_token和refresh_token?
access-token
、
openid-connect
根据我从这个了解到的,在openid中,我们使用id令牌来验证用户是否经过身份验证。为什么响应包括访问令牌和刷新令牌?此外,博客没有提到验证谁发送了令牌。我们如何验证发送消息的实际上是idp?
浏览 3
提问于2015-05-28
得票数 2
回答已采纳
2
回答
使用标识服务器在Azure函数中获取用户信息和其他声明
asp.net-core
、
authentication
、
azure-functions
、
identityserver4
、
claims
我有一个应用程序,其中使用IdentityServer4完成身份验证,并将Azure作为OpenID提供程序。IdentityServer4托管在Azure应用程序服务中。在成功的身份验证之后,我能够在access应用程序中获得访问令牌。访问令牌被传递给基于.Net核心的RESTful API,该API托管在Azure函数3.x中。在我的Azure函数中,我想获取用户信息和其他声明,而不触及IdentityServer4的端点"/connect/userinfo“。 一些类似于以下获得索赔的东西会很有帮助。 [FunctionName("MyFunctionName")
浏览 10
提问于2020-08-25
得票数 0
回答已采纳
1
回答
从基于Spring OAuth2的认证服务器获取安卓应用中的刷新令牌
spring-oauth2
我想在我的网络服务中使用OAuth2验证安卓应用程序。经过一些研究,我知道我应该使用/oauth/authorize端点,它为我提供隐式身份验证。但是,在重定向到登录页面并成功登录后,服务器最终返回访问令牌。过期后,用户必须重新登录。这是我的场景中的一个问题,我也希望获得刷新令牌,以便能够使用它,以便在旧令牌过期时获得访问令牌。使用spring OAuth2可以实现这样的场景吗?
浏览 24
提问于2016-08-31
得票数 0
1
回答
使用后端下发的访问令牌从前端发起请求
c#
、
asp.net-core
、
keycloak
、
openid-connect
、
asp.net-identity-3
我有一个经典的客户端服务器架构的应用程序。ASP.NET核心在后端,前端在jQuery,Angular或vanilla-js。 对于身份验证,我使用经过OpenID-Connect认证的服务器。(keycloak) 到目前为止,我可以通过asp.net核心身份验证中间件登录。获取我的访问令牌并刷新令牌。 我的配置如下所示: services.AddAuthentication(options => { options.DefaultScheme = "Cookies"; options.DefaultChallengeScheme = "oidc&
浏览 16
提问于2019-09-25
得票数 0
2
回答
使用Oauth保存会话的移动登录,存储在浏览器中,用于web视图
xamarin.forms
、
webview
、
oauth-2.0
、
identityserver4
、
openid-connect
我使用Xamarin窗体、IdentityServer (OpenID、OAuth2)和IdentityModel.库进行身份验证。这款移动应用程序通过在iOS上打开一个iOS浏览器和在安卓上打开一个ChromeCustomTabsBrowser,成功地登录了用户。用户登录,我存储他们的访问和刷新令牌以保护存储,这样我就能够进行API调用。 我遇到的问题是,在用户登录后,我在移动应用程序中有位置,我希望打开一个web视图,以便在IdentityServer后面保护web应用程序。当我打开web视图时,用户需要再次进行身份验证。 是否有一种方法可以防止用户在初次登录后打开web视图时再次登录?
浏览 5
提问于2019-11-12
得票数 1
回答已采纳
3
回答
打开ID连接会话管理访问/刷新令牌与会话iFrame
web-applications
、
security
、
oauth2
、
openid
我们有一个web应用程序,允许用户使用任何开放ID提供商(如Okta、Google、Facebook等)登录应用程序。我们希望实现正确的开放ID连接指定的方法/工作流,以保持用户登录到网站。 现有的实现,查看访问令牌的到期,然后如果它接近到期,则使用刷新令牌来获取新的访问令牌,以保持用户登录。我觉得这不对。当用户登录到web应用程序时,身份令牌将使用授权代码工作流来验证用户的身份。访问令牌和刷新令牌存储在服务器端。定期,刷新令牌用于获取新的访问令牌,以保持用户登录到站点。我认为这是一个安全风险,因为- 想象一下,如果一个用户在浏览器中登录了他的OP帐户。他打开天空,并直接登录到MP,因为他已经
浏览 0
提问于2019-04-11
得票数 0
1
回答
firebase云函数中iOS推送通知的有效负载语法是什么?
reactjs
、
firebase
、
push-notification
、
google-cloud-functions
、
apple-push-notifications
在我们的React应用程序中,我们尝试实现推送通知。它们在安卓系统上工作,当通过Firebase控制台发送它们时,它们也可以在iOS上工作。但是如果我们使用云函数,它只会把它们发送到安卓手机上,我们找不到关于iOS语法的正确信息。它与Android的负载语法有什么不同吗?我们已经安装了开发和生产的证书,并且我们正确地获得了令牌。感谢您的帮助!
浏览 2
提问于2021-07-19
得票数 0
1
回答
通过UI移动应用程序进行IdentityServer4直接交互
c#
、
asp.net-mvc
、
asp.net-identity
、
identityserver4
我正在为多个移动应用程序创建一个集中的身份验证系统。它的架构基于OpenID连接流,通过在ASP.NET核心身份上使用OAuth2.0和IdentityServer4。 我希望用户能够注册和认证自己直接从应用程序界面没有任何重定向,涉及打开浏览器。有没有一种方法可以只使用API调用,从客户端后端到集中授权服务器?
浏览 1
提问于2020-05-17
得票数 0
1
回答
JHipster -单页应用程序- OAuth2 / OIDC和访问令牌位置
authentication
、
oauth-2.0
、
single-page-application
、
jhipster
、
openid-connect
请注意,我对OAuth2和OpenID连接非常陌生,所以我可能有点困惑。OAuth2在2021年重新发布的认证流是授权码流。我已经读过了。 我使用JHipster (v6.10.5,而不是v7)使用以下配置初始化了一个项目: 您希望创建哪种类型的应用程序?单块应用程序(推荐用于简单项目) 您希望使用哪种类型的身份验证?OAuth 2.0 / OIDC身份验证(有状态的,与Keycloak和Okta一起工作) 您希望为客户端使用哪个框架?React (即SPA应用程序) 我想知道为什么JHipster的实现是有状态的?(即使用HTTP JSESSIONID;访问令牌和刷新令牌
浏览 0
提问于2021-04-23
得票数 0
3
回答
使用OAuth“伪身份验证”而不是使用OpenID有什么缺点吗?
authentication
、
openid
、
oauth
我见过一些帖子坚持认为OAuth与OpenID是正交性不同的东西,因为OpenID是关于用户身份验证的,而OAuth则是让第三方访问某些服务。 然而,我知道很多人无论如何,使用OAuth作为身份验证,如下图所示,维基百科称之为“伪认证”,但它似乎是一个有效的方式。与使用OpenID相比有什么缺点吗?如果OAuth可以进行身份验证,这是否意味着OAuth可以做OpenID所做的一切,但是OpenID不能做一些OAuth做的事情(比如访问服务)。为什么人们会使用OpenID而不是OAuth呢? 注:我是一个初学者,所以请原谅我,并指出如果我错过了一些基本的东西。
浏览 0
提问于2011-10-19
得票数 13
2
回答
如何刷新Spotify SDK for Android的访问令牌?
android
、
token
、
asp.net-web-api
、
spotify
我正在使用kaaes的和制作一个安卓应用程序。刷新我的访问令牌的最佳方式是什么?因为我需要保持用户的日志。 我不希望我的应用程序每次用户打开应用程序时都要求登录。 我该怎么处理呢? retrofit.RetrofitError: 401 Unauthorized Login to Spotify failed because of invalid credentials 感谢您的时间和帮助!致以问候。
浏览 2
提问于2015-05-07
得票数 7
3
回答
获取服务帐户的谷歌IdToken?
google-cloud-platform
、
google-login
我有一个服务于安卓客户端的后端,通过从安卓应用程序发送的IdToken对它们进行身份验证。现在,我需要对运行在使用我的apis的aws上的服务进行身份验证。所以我想一个服务帐户就可以做到这一点,使用私有的pem文件来创建一个IdToken并发送它,就像android客户端所做的那样。但我发现没有办法使用这些凭据来获得IdToken。这是可能的(最好是在nodejs中)。还是我在这里走错了路?
浏览 3
提问于2017-06-13
得票数 2
1
回答
如何使用OpenId执行OAuth2
oauth
、
openid
、
oauth-2.0
、
hybrid
我们想做的认证和授权与谷歌在我们的网站上提供的服务。可以通过OpenId混合扩展将OAuth 1.0合并到OpenId中。我们能在OAuth2.0上实现同样的功能吗?(使用OpenId身份验证执行OAuth2 )
浏览 2
提问于2011-04-14
得票数 0
回答已采纳
2
回答
openID用例
authentication
、
oauth
、
openid
我对openID的用例有点困惑。 比方说,如果用户使用openID登录到web应用程序。这个web应用程序应该为用户创建一个帐户吗? 1)。如果应该,那么使用openID和使用OAuth (将范围设置为"profile")获取用户信息,然后为用户创建帐户有什么区别。(稍后登录时可以使用profile/id令牌中的唯一密钥来查找数据库中的用户) 2)。如果不应该,那么如果用户注销,然后再次使用openID登录,那么用户以前所做的所有活动(例如,保存了一些文章供以后阅读)已经消失(假设没有设置cookie/session,因为它们仅限于一个设备)。如果是的话,在这个场景中认证的意义
浏览 4
提问于2021-12-10
得票数 2
2
回答
twitter客户端帮助
android
、
twitter
、
oauth
、
twitter-oauth
我是安卓开发的新手,我在一个小项目中工作,帮助我学习安卓,它是一个推特客户端,我正在使用OAuth认证用户使用推特的服务,而不是使用任何回调网址,所以我必须转发用户到一个特定的推特网址,以获得个人识别码继续认证过程,在转发用户的网址后,我想迫使他回到我的偏好活动写个人识别码继续这个过程,这可以如何实现?欢迎任何新的想法..
浏览 1
提问于2011-06-08
得票数 0
1
回答
如何在将来的请求中重用访问令牌,以及如何刷新访问令牌Android Outlook API
android
、
outlook
、
outlook-restapi
在示例中,用于安卓系统的OutlookQuickStart在logon()之后的第一个请求中运行良好。 现在我想继续将我的应用程序连接到该用户,并继续检查新的电子邮件。 如何重用访问令牌并构建请求以检查新电子邮件? 我是否必须保存访问令牌、刷新令牌? 如果令牌过期,如何在Android中刷新令牌。
浏览 1
提问于2016-10-07
得票数 0
1
回答
只为企业使用构建移动应用程序
android
、
ios
、
mobile
我们将构建移动应用程序来访问防火墙内的数据,供员工使用。我们有能力构建混合应用程序。我们正在寻找一个解决方案,以能够认证用户使用的应用。以下是理想的解决方案。 我们能不能把我们的应用上传到一个私人应用商店,只允许我们的员工同时为iOS和安卓用户下载? 如何访问内部网中的数据库? 如何对用户进行身份验证?(使用单点登录)或通过我们的移动应用程序或第三方软件认证。(好样的) 这里有谁知道我们可以使用的平台或产品吗?有什么建议吗?非常感谢。
浏览 1
提问于2015-02-19
得票数 0
1
回答
如果需要重新身份验证,则为HTTP状态
http
、
authentication
、
access-token
、
http-status-codes
、
http-status-code-401
假设您使用的是基于令牌的身份验证,那么在此场景中将使用哪种状态代码: 客户端有一个令牌,并向服务器发出请求。 令牌过期,服务器未经授权向发送401。 客户端向发送刷新令牌。 令牌是无效的,服务器用XXX响应? 用例将是一个应用程序,它会自动捕获401,并使用刷新令牌发出请求。如果服务器将响应401 (如果此令牌无效),客户端将尝试永远使用刷新令牌请求一个新的访问令牌。但是它应该告诉客户端,它应该用它的凭证(例如电子邮件和密码)重新认证。 我只是想知道在这种情况下哪种状态代码最适合,正如规范中所说的,在403禁止的情况下,“授权不会有帮助”。
浏览 1
提问于2015-01-29
得票数 1
回答已采纳
1
回答
安卓应用程序的Gmail accessToken和refreshToken
android
、
google-oauth
我有一个后端应用程序,它使用gmail访问令牌和刷新令牌访问用户的gmail帐户。 TokenResponse tokenResponse = new TokenResponse(); tokenResponse.setAccessToken(accessToken); tokenResponse.setRefreshToken(refreshToken); Credential credential = new Credential.Builder(BearerToken.authorizationHeaderAccessMethod()).setTransp
浏览 2
提问于2015-10-31
得票数 0
回答已采纳
2
回答
Google/Apple推送通知服务(APNS/GCM)
android
、
ios
、
push-notification
、
apple-push-notifications
、
google-cloud-messaging
我正在尝试为安卓和iOS创建应用程序,我想在这两个应用程序上都使用推送通知。我将有一个服务器应用程序,它将发送通知。 我试图弄清楚的是,我们如何存储用户的设备,这样我就可以知道需要使用APNS或GCM的服务。 其中一个方向是获取app要设置的手机类型,并将这些信息存储在服务器端,但如果用户将手机从iOS切换到安卓,需要涉及用户的数据存储,并收集每个用户的信息,不包括用户有安卓平板电脑和iOS手机的场景。 让它更通用,同时向服务APNS和GCM发送通知,其中一个会返回错误? 我很想知道这类场景的最佳实践是什么?
浏览 5
提问于2013-12-19
得票数 18
回答已采纳
1
回答
如何在Azure AD B2C中刷新令牌,而不是Access & ID令牌,即“生命周期”令牌
azure-ad-b2c
、
aad-b2c
我在安卓系统中为B2C使用MSAL,我一直在遵循的例子。当第一次登录时,我使用#1 获取令牌/运行用户流,而#3 在需要调用API时以静默方式获取令牌,并且令牌已经过期。 静默令牌似乎映射到Azure门户中的Access & ID令牌生存期(分钟)。 susi的用户流似乎映射到门户中的生命周期(days): 我认为90天已经过去了,那么我该做些什么来刷新这个标记,以及如何判断我是否接近90天呢? 也许我还没完全理解。 更新 好的,我看到下面的响应是有帮助的,但是我不知道在提供的信息下是否或者如何实现我的用例。 这里是用例:我有一个应用程序,可以在断开连接模式下使用,而且经常
浏览 2
提问于2021-09-15
得票数 1
1
回答
用SpringBoot API进行密钥掩蔽SSO (SAML)的反应
reactjs
、
spring-boot
、
keycloak
、
openid-connect
、
saml-2.0
我正在开发一个应用程序,它的API是用JAVA开发的。这些都是纯REST。前部是在反应中形成的。 我应该以这样一种方式添加身份验证--在访问SpringBoot API之前,它使用Keycloak作为IDP进行用户身份验证。 到目前为止,我已经看到Keycloak可以支持keycloak.js,它是用于开放ID连接的JavaScript适配器。但是我想要SAML2.0的解决方案。 我可以在React应用程序中添加SAML2.0SSO吗? 还有一个问题: 在keycloak.Application B中配置了应用程序A作为认证协议,在中配置了开放的ID连接作为认证协议,并具有访问应用程序A.的权
浏览 5
提问于2021-01-25
得票数 1
回答已采纳
1
回答
OAuth2不是用于身份验证的吗?
oauth-2.0
、
openid-connect
我不太明白为什么oauth2用于自动化,OpenID连接用于身份验证。 来自 授权服务器在成功地authenticating资源所有者并获得授权之后,向客户端发出访问令牌。 另一方面,根据代理或依赖方被重定向到某种身份验证页面,以便能够认证用户,不是吗? 此外,我一直读到OpenID连接是建立在Oauth2上的,以便为Oauth2提供身份验证机制。是对的吗?
浏览 3
提问于2017-11-23
得票数 1
回答已采纳
1
回答
在节点服务器中生成刷新令牌和访问令牌
node.js
、
security
、
authentication
、
oauth-2.0
、
jwt
我正在开发手机和一个网络应用程序。这两个应用程序都将与节点服务器对话。我使用JWT进行身份验证。 目前,我有以下代码来生成访问令牌: const token = jwt.sign({ user: body }, "top_secret"); 对于刷新令牌和访问令牌,我真的很困惑: 如何创建刷新令牌? 刷新令牌是什么样子的? 我是否可以创建一个刷新令牌-类似于我创建访问令牌的方式? 刷新令牌是否仅用于生成新的访问令牌? 刷新令牌可以用作访问令牌吗? 如何使访问令牌失效? 如何使刷新令牌失效?我见过使用数据库存储刷新令牌的示例。当要使访问令牌无效时,刷新
浏览 3
提问于2020-04-04
得票数 1
1
回答
安卓C2DM注册ID刷新
android
我正在通过C2DM在安卓中处理推送通知。在我这一端,它绝对工作得很好。我可以向我的设备发送推送通知,直到注册ID在服务器端有效为止。如果注册ID过期(Google定期刷新注册ID ),则我的设备不会收到任何通知。 我想听一下谷歌的注册id更改。我读过一些地方,当Google刷新注册ID时,它会通知应用程序。我希望侦听该更改,以便可以将新的注册ID转发到我的服务器。 我遵循了这个教程 提前谢谢。
浏览 5
提问于2011-10-17
得票数 0
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
OAuth 2.0 与 OIDC
OAuth 2.0与OpenID Connect协议的完整指南
IdentityServer4 知多少
微服务安全架构-OAuth2
8种至关重要OAuth API授权流与能力
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券