Questions tagged «access-token»

访问令牌是OAuth身份验证过程中获取的最后一个令牌。


14
未收到Google OAuth刷新令牌
我想从Google获取访问令牌。 Google API表示要获取访问令牌,请将代码和其他参数发送到令牌生成页面,并且响应将是一个JSON对象,例如: { "access_token" : "ya29.AHES6ZTtm7SuokEB-RGtbBty9IIlNiP9-eNMMQKtXdMP3sfjL1Fc", "token_type" : "Bearer", "expires_in" : 3600, "refresh_token" : "1/HKSmLFXzqP0leUihZp2xUt3-5wkU7Gmu2Os_eBnzw74" } 但是,我没有收到刷新令牌。我的回答是: { "access_token" : "ya29.sddsdsdsdsds_h9v_nF0IR7XcwDK8XFB2EbvtxmgvB-4oZ8oU", "token_type" : "Bearer", "expires_in" : 3600 }

4
如果JWT被盗怎么办?
我正在尝试为我的RESTful API使用JWT实现无状态身份验证。 AFAIK,JWT基本上是在REST调用期间作为HTTP标头传递的加密字符串。 但是,如果有一个窃听者看到请求并窃取令牌,该怎么办?那他就能伪造我的身份要求吗? 实际上,这种担忧适用于所有基于令牌的身份验证。 如何预防呢?像HTTPS这样的安全通道?

4
ASP.NET Core中基于令牌的身份验证
我正在使用ASP.NET Core应用程序。我正在尝试实施基于令牌的身份验证,但无法弄清楚如何为我的案例使用新的安全系统。我查看了一些示例,但是它们并没有太大帮助,它们使用cookie身份验证或外部身份验证(GitHub,Microsoft,Twitter)。 我的情况是:angularjs应用程序应请求/token传递用户名和密码的url。WebApi应该授权用户并返回access_token,它将在以下请求中由angularjs应用程序使用。 我找到了一篇很棒的文章,内容涉及在ASP.NET的当前版本中完全实现所需的内容- 使用ASP.NET Web API 2,Owin和Identity的基于令牌的身份验证。但是对我来说,如何在ASP.NET Core中执行相同的操作并不明显。 我的问题是:如何配置ASP.NET Core WebApi应用程序以与基于令牌的身份验证一起使用?

9
使用axios发送承载令牌
在我的react应用程序中,我正在使用axios执行REST api请求。 但是它无法发送带有请求的Authorization标头。 这是我的代码: tokenPayload() { let config = { headers: { 'Authorization': 'Bearer ' + validToken() } } Axios.post( 'http://localhost:8000/api/v1/get_token_payloads', config ) .then( ( response ) => { console.log( response ) } ) .catch() } 在这里,该validToken()方法将仅从浏览器存储中返回令牌。 所有请求的错误响应均为500,表示 无法从请求中解析令牌 从后端开始。 如何随每个请求发送授权标头?您会推荐其他任何带有react的模块吗?

3
页面的Facebook访问令牌
我有一个Facebook页面,我想从中获取一些东西。第一件事是提要,根据我的阅读,它们是公开的(不需要access_token)。但是我也想获取事件……它们不是公开的,需要access_token。 我不希望用户登录Facebook或类似的东西。我只想从该页面推送所有数据。这就是为什么我已经丢弃了我在这里找到的许多示例以及在https://developers.facebook.com/blog/post/500/上找到的示例的原因,因为它们希望用户登录或要求我进行不干预的某些用户操作。 我想要的是我的Facebook应用程序具有完全授权和access_token来从我拥有的这个Facebook页面(管理员)中推送数据。这可能吗?我已经尝试了很多东西,但似乎没有任何效果。 我尝试点击以下网址:https : //www.facebook.com/dialog/oauth? client_id = 150635421702954 & redirect_uri = http : //MY_URL / & scope = manage_pages & response_type = token & fields = access_token-将MY_URL更改为我的网站,并要求授权编辑每个我拥有的页面。即使不是我想要的东西,我也单击了但没有access_token作为回报...

7
基本的HTTP和承载令牌认证
我目前正在开发针对开发环境受HTTP-Basic保护的REST-API。由于真正的身份验证是通过令牌完成的,因此我仍在尝试弄清楚如何发送两个授权标头。 我已经尝试过这个了: curl -i http://dev.myapp.com/api/users \ -H "Authorization: Basic Ym9zY236Ym9zY28=" \ -H "Authorization: Bearer mytoken123" 例如,我可以为我的IP禁用HTTP身份验证,但是由于我通常在具有动态IP的不同环境中工作,所以这不是一个好的解决方案。那我错过了什么吗?

4
“刷新令牌”的目的是什么?
我有一个与YouTube Live Streaming API集成的程序。它运行在计时器上,因此我编程起来相对容易,每隔50分钟使用刷新令牌来获取一个新的访问令牌。我的问题是,为什么? 当我通过YouTube认证时,它给了我一个刷新令牌。然后,我使用此刷新令牌大约每小时获取一次新的访问令牌。如果我有刷新令牌,因为它永不过期,所以我总是可以使用它来获取新的访问令牌。因此,除了从一开始就给我访问令牌并且不打扰整个“刷新令牌”系统,我看不出这有什么安全性。

8
Google刷新令牌会过期吗?
我在短时间内就多次使用了刷新令牌进行测试,但是我不知道Google刷新令牌是否会过期?我可以使用相同的刷新令牌长时间(一周甚至几个月)一次又一次地获取另一个访问令牌吗?

17
如何使用Google API客户端刷新令牌?
我一直在使用Google Analytics(分析)API(V3),遇到了som错误。首先,所有设置均正确无误,并且可以使用我的测试帐户。但是,当我想从另一个个人资料ID(相同的Google Accont / GA帐户)获取数据时,出现403错误。奇怪的是,某些Google Analytics(分析)帐户中的数据会返回数据,而其他帐户会生成此错误。 我已经撤消了令牌并再次进行了身份验证,现在看来我可以从所有帐户中获取数据了。问题解决了?不。由于访问密钥将过期,因此我将再次遇到相同的问题。 如果我理解正确,可以使用resfreshToken获得新的authenticationTooken。 问题是,当我运行时: $client->refreshToken(refresh_token_key) 返回以下错误: Error refreshing the OAuth2 token, message: '{ "error" : "invalid_grant" }' 我已经检查了refreshToken方法背后的代码,并将请求追溯到“ apiOAuth2.php”文件。所有参数均正确发送。grant_type在方法中硬编码为“ refresh_token”,因此我很难理解出了什么问题。参数数组如下所示: Array ( [client_id] => *******-uqgau8uo1l96bd09eurdub26c9ftr2io.apps.googleusercontent.com [client_secret] => ******** [refresh_token] => 1\/lov250YQTMCC9LRQbE6yMv-FiX_Offo79UXimV8kvwY [grant_type] => refresh_token ) 步骤如下。 $client = new apiClient(); $client->setClientId($config['oauth2_client_id']); $client->setClientSecret($config['oauth2_client_secret']); $client->setRedirectUri($config['oauth2_redirect_uri']); $client->setScopes('https://www.googleapis.com/auth/analytics.readonly'); $client->setState('offline'); …

5
带有身份验证的python请求(access_token)
我正在尝试将API查询输入python。命令行 curl --header "Authorization:access_token myToken" https://website.com/id 提供一些json输出。myToken是一个十六进制变量,始终保持不变。我想从python进行此调用,以便我可以遍历不同的id并分析输出。有任何想法吗?在需要身份验证之前,我已经使用urllib2进行了此操作。我也看过了requests模块,但是不知道该怎么做。 非常感谢。

9
获取刷新令牌Google API
我的代码无法获得刷新令牌。我只能获取访问令牌,令牌类型等,我已经按照一些教程进行了操作,例如access_type=offline输入登录URL: echo "<a href='https://accounts.google.com/o/oauth2/auth?" . "access_type=offline&client_id=123345555.apps.googleusercontent.com& " . "scope=https://www.googleapis.com/auth/calendar+https://www.googleapis.com/auth/plus.me&response_type=code& " . "redirect_uri=http://www.sample.com/sample.php&state=/profile'>Google</a>"; 我获取访问令牌的字段: $fields=array( 'code'=> urlencode($authcode), 'client_id'=> urlencode($clientid), 'client_secret'=> urlencode($clientsecret), 'redirect_uri'=> urlencode($redirecturi), 'grant_type'=> 'authorization_code', ); 但我无法获取refresh_token,只有access_token,token_type,id_token和expires_in。

8
Facebook页面访问令牌-这些令牌会过期吗?
我正在开发一个允许用户管理其Facebook粉丝页面的应用程序。这需要以下两个访问令牌: 用户访问令牌 页面访问令牌 我对用户访问令牌非常熟悉,但对页面访问令牌却并不熟悉。 有人知道页面访问令牌保持有效的时间吗?我在Facebook网站上只能找到这个简洁的段落,没有提到它的有效期。 我是否可以假设如果我请求具有offline_access权限的用户访问令牌,则页面访问令牌也将无限期使用(除非用户更改密码或手动取消对我的应用的授权)? 我之所以问是因为我想知道我应该多久查询一次Facebook Graph API并获取页面访问令牌。用户注册时,我是否应该只请求一次?还是我应该在每个API调用不断变化的情况下要求它们一个?后者显然更加费劲!
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.