Questions tagged «access-token»

OAuth 2.0协议草案的第4.2节指出，授权服务器既可以返回access_token（用于通过资源对自身进行身份验证），也可以返回（refresh_token仅用于创建新的）access_token： https://tools.ietf.org/html/rfc6749#section-4.2 为什么两者都有？为什么不只要access_token持续最后一个就refresh_token没有refresh_token？

654 security  oauth  access-token  refresh-token 

我想从Google获取访问令牌。 Google API表示要获取访问令牌，请将代码和其他参数发送到令牌生成页面，并且响应将是一个JSON对象，例如： { "access_token" : "ya29.AHES6ZTtm7SuokEB-RGtbBty9IIlNiP9-eNMMQKtXdMP3sfjL1Fc", "token_type" : "Bearer", "expires_in" : 3600, "refresh_token" : "1/HKSmLFXzqP0leUihZp2xUt3-5wkU7Gmu2Os_eBnzw74" } 但是，我没有收到刷新令牌。我的回答是： { "access_token" : "ya29.sddsdsdsdsds_h9v_nF0IR7XcwDK8XFB2EbvtxmgvB-4oZ8oU", "token_type" : "Bearer", "expires_in" : 3600 }

270 gdata  gdata-api  access-token 

我正在尝试为我的RESTful API使用JWT实现无状态身份验证。 AFAIK，JWT基本上是在REST调用期间作为HTTP标头传递的加密字符串。 但是，如果有一个窃听者看到请求并窃取令牌，该怎么办？那他就能伪造我的身份要求吗？ 实际上，这种担忧适用于所有基于令牌的身份验证。 如何预防呢？像HTTPS这样的安全通道？

201 authentication  access-token  jwt 

我正在使用ASP.NET Core应用程序。我正在尝试实施基于令牌的身份验证，但无法弄清楚如何为我的案例使用新的安全系统。我查看了一些示例，但是它们并没有太大帮助，它们使用cookie身份验证或外部身份验证（GitHub，Microsoft，Twitter）。 我的情况是：angularjs应用程序应请求/token传递用户名和密码的url。WebApi应该授权用户并返回access_token，它将在以下请求中由angularjs应用程序使用。 我找到了一篇很棒的文章，内容涉及在ASP.NET的当前版本中完全实现所需的内容- 使用ASP.NET Web API 2，Owin和Identity的基于令牌的身份验证。但是对我来说，如何在ASP.NET Core中执行相同的操作并不明显。 我的问题是：如何配置ASP.NET Core WebApi应用程序以与基于令牌的身份验证一起使用？

161 c#  authentication  asp.net-web-api  access-token  asp.net-core 

在我的react应用程序中，我正在使用axios执行REST api请求。 但是它无法发送带有请求的Authorization标头。 这是我的代码： tokenPayload() { let config = { headers: { 'Authorization': 'Bearer ' + validToken() } } Axios.post( 'http://localhost:8000/api/v1/get_token_payloads', config ) .then( ( response ) => { console.log( response ) } ) .catch() } 在这里，该validToken()方法将仅从浏览器存储中返回令牌。 所有请求的错误响应均为500，表示 无法从请求中解析令牌 从后端开始。 如何随每个请求发送授权标头？您会推荐其他任何带有react的模块吗？

117 reactjs  rest  token  axios  access-token 

我有一个Facebook页面，我想从中获取一些东西。第一件事是提要，根据我的阅读，它们是公开的（不需要access_token）。但是我也想获取事件……它们不是公开的，需要access_token。 我不希望用户登录Facebook或类似的东西。我只想从该页面推送所有数据。这就是为什么我已经丢弃了我在这里找到的许多示例以及在https://developers.facebook.com/blog/post/500/上找到的示例的原因，因为它们希望用户登录或要求我进行不干预的某些用户操作。 我想要的是我的Facebook应用程序具有完全授权和access_token来从我拥有的这个Facebook页面（管理员）中推送数据。这可能吗？我已经尝试了很多东西，但似乎没有任何效果。 我尝试点击以下网址：https : //www.facebook.com/dialog/oauth? client_id = 150635421702954 & redirect_uri = http : //MY_URL / & scope = manage_pages & response_type = token & fields = access_token-将MY_URL更改为我的网站，并要求授权编辑每个我拥有的页面。即使不是我想要的东西，我也单击了但没有access_token作为回报...

115 facebook  facebook-graph-api  oauth  access-token  facebook-page 

我目前正在开发针对开发环境受HTTP-Basic保护的REST-API。由于真正的身份验证是通过令牌完成的，因此我仍在尝试弄清楚如何发送两个授权标头。 我已经尝试过这个了： curl -i http://dev.myapp.com/api/users \ -H "Authorization: Basic Ym9zY236Ym9zY28=" \ -H "Authorization: Bearer mytoken123" 例如，我可以为我的IP禁用HTTP身份验证，但是由于我通常在具有动态IP的不同环境中工作，所以这不是一个好的解决方案。那我错过了什么吗？

115 rest  curl  basic-authentication  access-token  restful-authentication 

我有一个与YouTube Live Streaming API集成的程序。它运行在计时器上，因此我编程起来相对容易，每隔50分钟使用刷新令牌来获取一个新的访问令牌。我的问题是，为什么？ 当我通过YouTube认证时，它给了我一个刷新令牌。然后，我使用此刷新令牌大约每小时获取一次新的访问令牌。如果我有刷新令牌，因为它永不过期，所以我总是可以使用它来获取新的访问令牌。因此，除了从一开始就给我访问令牌并且不打扰整个“刷新令牌”系统，我看不出这有什么安全性。

110 authentication  oauth  youtube-api  access-token  refresh-token 

我在短时间内就多次使用了刷新令牌进行测试，但是我不知道Google刷新令牌是否会过期？我可以使用相同的刷新令牌长时间（一周甚至几个月）一次又一次地获取另一个访问令牌吗？

108 api  google-api  token  access-token 

我一直在使用Google Analytics（分析）API（V3），遇到了som错误。首先，所有设置均正确无误，并且可以使用我的测试帐户。但是，当我想从另一个个人资料ID（相同的Google Accont / GA帐户）获取数据时，出现403错误。奇怪的是，某些Google Analytics（分析）帐户中的数据会返回数据，而其他帐户会生成此错误。 我已经撤消了令牌并再次进行了身份验证，现在看来我可以从所有帐户中获取数据了。问题解决了？不。由于访问密钥将过期，因此我将再次遇到相同的问题。 如果我理解正确，可以使用resfreshToken获得新的authenticationTooken。 问题是，当我运行时： $client->refreshToken(refresh_token_key) 返回以下错误： Error refreshing the OAuth2 token, message: '{ "error" : "invalid_grant" }' 我已经检查了refreshToken方法背后的代码，并将请求追溯到“ apiOAuth2.php”文件。所有参数均正确发送。grant_type在方法中硬编码为“ refresh_token”，因此我很难理解出了什么问题。参数数组如下所示： Array ( [client_id] => *******-uqgau8uo1l96bd09eurdub26c9ftr2io.apps.googleusercontent.com [client_secret] => ******** [refresh_token] => 1\/lov250YQTMCC9LRQbE6yMv-FiX_Offo79UXimV8kvwY [grant_type] => refresh_token ) 步骤如下。 $client = new apiClient(); $client->setClientId($config['oauth2_client_id']); $client->setClientSecret($config['oauth2_client_secret']); $client->setRedirectUri($config['oauth2_redirect_uri']); $client->setScopes('https://www.googleapis.com/auth/analytics.readonly'); $client->setState('offline'); …

91 php  google-api  oauth-2.0  access-token  google-analytics-api 

我正在尝试将API查询输入python。命令行 curl --header "Authorization:access_token myToken" https://website.com/id 提供一些json输出。myToken是一个十六进制变量，始终保持不变。我想从python进行此调用，以便我可以遍历不同的id并分析输出。有任何想法吗？在需要身份验证之前，我已经使用urllib2进行了此操作。我也看过了requests模块，但是不知道该怎么做。 非常感谢。

81 python  authentication  curl  access-token 

我的代码无法获得刷新令牌。我只能获取访问令牌，令牌类型等，我已经按照一些教程进行了操作，例如access_type=offline输入登录URL： echo "<a href='https://accounts.google.com/o/oauth2/auth?" . "access_type=offline&client_id=123345555.apps.googleusercontent.com& " . "scope=https://www.googleapis.com/auth/calendar+https://www.googleapis.com/auth/plus.me&response_type=code& " . "redirect_uri=http://www.sample.com/sample.php&state=/profile'>Google</a>"; 我获取访问令牌的字段： $fields=array( 'code'=> urlencode($authcode), 'client_id'=> urlencode($clientid), 'client_secret'=> urlencode($clientsecret), 'redirect_uri'=> urlencode($redirecturi), 'grant_type'=> 'authorization_code', ); 但我无法获取refresh_token，只有access_token，token_type，id_token和expires_in。

76 google-calendar-api  token  access-token  gdata 

我正在开发一个允许用户管理其Facebook粉丝页面的应用程序。这需要以下两个访问令牌： 用户访问令牌 页面访问令牌 我对用户访问令牌非常熟悉，但对页面访问令牌却并不熟悉。 有人知道页面访问令牌保持有效的时间吗？我在Facebook网站上只能找到这个简洁的段落，没有提到它的有效期。 我是否可以假设如果我请求具有offline_access权限的用户访问令牌，则页面访问令牌也将无限期使用（除非用户更改密码或手动取消对我的应用的授权）？ 我之所以问是因为我想知道我应该多久查询一次Facebook Graph API并获取页面访问令牌。用户注册时，我是否应该只请求一次？还是我应该在每个API调用不断变化的情况下要求它们一个？后者显然更加费劲！

70 facebook  facebook-graph-api  access-token  facebook-page