-
-1 votesanswersviews
在哪里为OAuth2保存refresh_token
我有一个NET WebApi核心项目,通过 OAuth2 身份验证 . 还有一个Web界面 . 用户发送登录名/密码并接收 access_token 和 refresh_token . 问题是在客户端上存储 refresh_token 的安全位置在哪里?如果我们将令牌存储在浏览器的 LocalStorage 中,则任何有权访问浏览器的用户都可以窃取 refresh_token . 怎么安全呢?... -
0 votesanswersviews
用户在Window Popup(Winform应用程序)中授予访问权限后获取授权码
我目前正在实施HMRC(制作税务数字)的API,并且是oauth 2.0的新手 . 不幸的是,HMRC部门仅使用Oauth 2.0和授权代码流来访问他们的数据 . 事实上,我已经通过邮递员成功测试并获得了数据 . 但是当我在我的项目中开发时,它有一些混乱 . 由于HMRC的要求,我需要引导用户访问窗口弹出以获得访问权限,然后授权代码将返回到我的应用程序,如果成功授予,则返回到下一步 . 那么如何在... -
0 votesanswersviews
Spring boot:假设客户端休息呼叫不能使用oauth2,但可以在浏览器上运行
有2个微服务,一个休息服务是websocket服务 . Websocket服务假装客户端与其他服务进行通信 . 当从浏览器工具(例如邮递员)调用休息服务时,呼叫正常工作 . 我们只传递 Headers Authorization ,其值为 Bearer XXXXX 当没有拦截器从假装打电话时,我们得到401:未经授权,这是正确的行为 . 将此拦截器添加到代码库时,当然XXXXX是真正的令牌,我... -
1 votesanswersviews
用Linkedin Spring Boot Rest api登录
我无法使用Linkedin登录 . 我看到401错误代码 . 请帮我 . 我的代码: HttpResponse httpResponse = Request.Get("https://api.linkedin.com/v1/people/~?format=json") .setHeader("Host", "api.link... -
0 votesanswersviews
无法使用新的令牌集更新Cookie
我已经构建了一个基于IdentityServer4的授权服务器 . 有用 . 但是当我尝试使用反向通道刷新令牌时,请求在HttpContext上调用AuthenticateAsync()方法时失败 . 基本上,在HttpContext上调用AuthenticateAsync()或SignInAsync()会失败 . 更糟糕的是,即使我在try ... catch块中包装调用,也不会抛出任何异常 .... -
-1 votesanswersviews
如何在LinkedIn API上使用2脚访问令牌
我想获得LinkedIn-API的应用程序级访问权限 . 根据LinkedIn的文档,它可以通过两条腿访问令牌,但默认情况下不可用,如here所述 . 然而在常见问题解答中看起来它是不可能的,FAQ - >身份验证[Tab]问 . 我可以为我的应用程序获取一个不需要成员登录的访问令牌吗? 我的目标是能够无限制地使用公司搜索API(更高限制) . 我知道堆栈溢出是针对技术/编程问题的 . 然... -
0 votesanswersviews
如何使用Microsoft Word加载项登录Google
在下面的链接中建议使用 Google Auth Lib ,但提供的 github 链接不引用任何JavaScript库: Authorize external services in your Office Add-in 据我所知,我不能使用 Code FLow ,因为它需要一个重定向URL . 我应该如何从 Microsoft Word Add-In 中的 Google 获得 Access ... -
0 votesanswersviews
使用OpenID Connect和OAuth管理应用程序访问
通过OpenID Connect和OAuth规范,似乎OpenID连接完全与身份相关,OAuth与委托访问有关(尽管它似乎特别是 API 访问) . 如果OAuth用于API访问,那么管理 client 访问的推荐方法是什么? OpenID Connect可以说出你是谁,但是你可以访问哪些客户端(应用程序) . 这是应用程序本身的工作还是我们可以放在访问令牌上的东西? -
0 votesanswersviews
如何保护被称为任务的Google Cloud endpoints 方法?
我有一个Android应用程序与我的Google Cloud 终端后端交谈 . 在其中一个 endpoints 方法中,我正在关闭推送到队列的“任务” . 该任务由另一个 endpoints 方法处理,例如“/ taskendpoint / doSomeWork” 我已经通过将对"/_ah/spi/taskendpoint/*"的访问权限限制为"admin users... -
35 votesanswersviews
如何在.net WebApi2应用程序中消耗OAuth2令牌请求中的额外参数
我在一个大型.net MVC 5 Web解决方案中有一个api特定项目 . 我正在利用开箱即用的WebApi2模板通过api对用户进行身份验证 . 使用个人帐户进行身份验证,获取访问令牌所需的请求正文是: grant_type=password&username={someuser}&password={somepassword} 这按预期工作 . 但是,我需要在scaffold... -
0 votesanswersviews
OAuth2实现方法
我想实现一个OAuth2服务器(技术并不重要) . 我对方法有疑问: 假设我有一个提供access_tokens和refresh_tokens的OAuth2服务器 . 我的用户将通过Google和Facebook等OAuth2提供商登录 . 当外部提供商向我的应用程序提供OK标志时,我想存储用户名和电子邮件 . 之后,我的应用程序知道用户,我的服务器提供access_token和refresh_t... -
1 votesanswersviews
使用client_id而不是refresh_token的OAuth2响应
我在php中有两个oauth2客户端的例子,一个工作而另一个没有,它返回一个错误([error] =>未授权[error_description] =>在SecurityContext中找不到Authentication对象) . 我的问题是,当oauth2服务器应该返回带有client_id的访问令牌响应时,应该何时返回带有refresh_token的响应? 我的工作请求是:stri... -
5 votesanswersviews
MVC 5,OWIN Google和Microsoft refresh_token
我正在构建一个使用cookie身份验证作为主要身份验证方法的MVC 5 Web应用程序 . 我们的申请流程如下: 首次使用用户名/密码注册以创建IdentityUser . 用户使用其用户名/密码登录 用户将一个或多个Google和/或Microsoft帐户与其"local"帐户相关联 . OWIN Google和Microsoft提供商处理外部身份验证 . ... -
1 votesanswersviews
关于oauth2的混淆以及应该存储access_token和refresh_token的位置
很高兴能够更深入地了解如何保护此设置: Node.js / ExpressJS / Oauth2orize受oauth2保护并在 api.domain.com 上托管的REST API 通过Node.js / ExpressJS服务器提供的 domain.com 上托管的Backbone.js应用程序 目前发生以下情况: 1 - 用户访问浏览器中的应用程序,提供用户名和密码,这些都发... -
1 votesanswersviews
转让Google Cloud 端硬盘文档的所有权
我们在C#中开发应用程序,需要在未经原始所有者许可的情况下将与窗帘域相关的所有Google Drive文档的所有权转让给单个特定用户 . 我们正在使用Google Apps商业帐户的试用版 . 原则上,我们需要这样做:http://screencast.com/t/effVWLxL0Mr4但是在C#代码中 . 根据文档,它在OAuth2中实现为superadmin功能 . https://sup... -
4 votesanswersviews
期望的发现文档中的发布者无效:使用Azure B2C的angular-oauth2-oidc
目前我正在开发一个Angular2应用程序,并希望使用B2C租户进行身份验证 . 它不起作用,因为我收到一个错误: Invalid issuer in discovery document expected: 设置和配置与https://github.com/manfredsteyer/angular-oauth2-oidc中描述的完全相同 . 在给定的示例中,使用以下函数: private co... -
0 votesanswersviews
Slack斜杠命令用户令牌
我们有一个团队Slack应用程序和一些使用它们配置的斜杠命令 . 斜杠命令将请求发送到使用passport-slack作为身份验证的快速REST endpoints . 我希望slash命令生成的请求包含用户的访问令牌,因为它已经登录到Slack,但不仅仅是验证令牌 有关如何实现这一点的任何想法? -
4 votesanswersviews
使用Laravel 5.4和Passport进行Multi Auth
我正在尝试使用Laravel Passport设置多个auth,但它似乎不支持它 . 我使用密码授予发出令牌,要求我传递想要访问令牌的用户的用户名/密码 . 我有3个auth警卫/提供者设置,总共4个 . 用户,供应商,管理员和API 其中2个Auths需要访问护照,因此每个用户都需要能够发放令牌 . 但Passport会自动获取API身份验证提供程序,但我希望根据登录的用户进行更改 . 如果用户... -
0 votesanswersviews
公共oAuth客户端
我有一个小型服务器端Web应用程序,它允许从外部客户端执行REST api命令 . 我在网络应用上设置了OAuth2,我在OAuth2中设置了客户端ID和客户端密码 . 在外部,我有一个angularjs客户端网站,我想通过ajax / http请求从服务器端应用程序请求api调用 . 我希望angularjs应用程序可公开访问,并且不要求用户登录angularapp来访问它 . angular... -
5 votesanswersviews
如何将Bitbucket Cloud 与Concourse CI集成?
我已经开始在大堂ci设置一个新的团队,可以登录Bitbucket用户 . fly set-team -n main \ --basic-auth-username myuser \ --basic-auth-password xxxx \ --generic-oauth-display-name bitbucket \ --generic-oauth-client-id xxxx ... -
0 votesanswersviews
发出刷新令牌并撤消角色后,无法刷新访问令牌
在Keycloak中发布刷新令牌后撤消角色时,我遇到刷新访问令牌的问题 . 假设我有一个 jdoe 用户,该用户具有从 reporting 客户端分配的 view-reports 客户端角色 . 重现步骤: 通过直接授予用户jdoe获取访问令牌以及刷新令牌 在安全管理控制台中取消为用户分配视图报告角色 . 刷新访问令牌 结果:不是接收具有有限角色的新访问令牌,而是返回以下错误: {... -
1 votesanswersviews
RingCentral API用户联系Endpont授权
我正在尝试使用RingCentral API创建仅服务器(无UI)应用程序 . 目标是使用他们的新地址簿 endpoints 自动创建/更新我们公司中所有扩展的用户联系人 . 这似乎应该是直截了当的,不应该要求用户身份验证(因为它是一个私有应用程序),但我无法从文档中看到我如何授权这样的API调用 . auth选项似乎都需要用户提供显式授权 . 有没有办法做我正在尝试用RC提供的客户端访问ID和... -
0 votesanswersviews
您如何使用RingCentral API的持久凭据进行身份验证?
我被客户要求开发一个解决方案,涉及从Ring Central中提取呼叫信息 . 具体来说,我想 Build 一个Webhook,在呼叫进入时提取实时数据,然后使用呼叫日志同步进行夜间对帐 . 这是我使用RingCentral的第一个项目 . RC文档并不完全清楚 . 我发现了这个信息:http://ringcentral-api-docs.readthedocs.io/en/latest/oaut... -
0 votesanswersviews
配置对Google My Business API的请求以避免出现未经身份验证的错误
在我的Node.js应用程序中向Google My Business API提交请求时,我不断收到未经身份验证的错误 . 响应: { "error": { "code": 401, "message": "Request is missing required authentication credentia... -
1 votesanswersviews
为什么在OAuthAuthorizationServerProvider.GrantRefreshToken中添加声明?
我正在使用承载令牌为OAuth 2配置AspNet.Identity,我已经看到了实现 OAuthAuthorizationServerProvider.GrantRefreshToken 方法的多个示例,其中作者演示了向 new ClaimsIdentity 添加声明的功能,如下所示 . 我试图在我的单服务器(即我的Web API项目是授权资源服务器)的上下文中理解这一点,如果需要,我可以在以后... -
2 votesanswersviews
无法找到请求目标wso2的有效证书路径
我正在运行wso2 saml SSO示例(travelocity.com),它与saml运行良好 . 但是当我在wso2is中配置oAuth并在travelocity属性文件中设置 EnableSAML2Grant=true 时,我收到以下错误 org.wso2.carbon.identity.sso.agent.exception.SSOAgentException:在org.wso2.car... -
-1 votesanswersviews
https://accounts.google.com/o/oauth2/auth?错误:redirect_uri_mismatch
我正在尝试使用Google API进行身份验证,但一直在 Error: redirect_uri_mismatch 我已经在谷歌控制台_409256中设置了我的重定向网址,但它一直在说 The redirect URL in the request: http:/localhost:6804/authorize/ did not match a registered redirect URL. 我... -
1 votesanswersviews
Google Actions SDK入门
我是一个绝对的初学者,尝试使用针对Google智能助理的动作SDK开始使用Google动态SDK,遵循here概述的步骤 . 我应该粘贴到浏览器中并获取OAuth-2.0授权码 . 但是当我将URL粘贴到浏览器中时,我收到如下错误 . 我查看了this和this,并尝试了那里提出的大多数解决方案都没有成功 . 有人可以帮忙吗? 那是一个错误 . 错误:invalid_request redire... -
0 votesanswersviews
错误:invalid_request缺少必需参数:golang中的client_id
我在使用Google OAuth2进行身份验证时遇到了问题 . 我从谷歌开发者控制台获得了客户端ID和秘密,我想出了这段代码: package main import ( "fmt" "golang.org/x/oauth2" "golang.org/x/oauth2/google"... -
0 votesanswersviews
可以从不同的应用程序/服务器使用相同的dropbox oauth访问令牌吗?
Note: cross-posted from Dropbox forums 我正在开发一个应用程序,用户在主网站上授权Dropbox,但实际与API(下载/上传)文件的交互发生在一个单独的工作服务器上(当前在我的localhost上运行) . 但是,我能够毫无问题地执行Dropbox OAuth流程,但每当我尝试在本地应用程序上使用access_token时,我都会收到以下错误: dropbox...