Questions tagged «oauth»

OAuth(开放授权)是客户端应用程序代表用户访问受保护资源的规范。它是作为用户将其登录凭据分发给第三方应用程序的替代方法而开发的。

4
“刷新令牌”的目的是什么?
我有一个与YouTube Live Streaming API集成的程序。它运行在计时器上,因此我编程起来相对容易,每隔50分钟使用刷新令牌来获取一个新的访问令牌。我的问题是,为什么? 当我通过YouTube认证时,它给了我一个刷新令牌。然后,我使用此刷新令牌大约每小时获取一次新的访问令牌。如果我有刷新令牌,因为它永不过期,所以我总是可以使用它来获取新的访问令牌。因此,除了从一开始就给我访问令牌并且不打扰整个“刷新令牌”系统,我看不出这有什么安全性。

3
JWT和Bearer Token有什么区别?
我正在学习有关授权的一些​​知识,例如Basic,Digest,OAuth2.0,JWT和Bearer Token。 现在我有一个问题。 您知道JWT被用作OAuth2.0标准中的Access_Token。JWT出现在RFC 7519上,而Bearer Token出现在RFC 6750上。 例如,承载: Authorization: Bearer <token> 我曾经通过AJAX将令牌发送到服务器,或者将令牌添加到url的查询字符串中。我知道令牌也可以通过将其添加到请求标头中来发送。这是否意味着应该将令牌添加到Authorization Bearer标头中? 您能告诉我JWT和Bearer Token之间的关系吗?非常感谢。
105 oauth  token  jwt 

1
.NET中具有验证功能的OAuth
我正在尝试创建一个基于.NET的客户端应用程序(在WPF中-尽管目前我只是作为控制台应用程序来做),以与支持OAuth的应用程序(特别是Mendeley(http:// dev (.mendeley.com),显然使用了三足式OAuth。 这是我第一次使用OAuth,在开始使用它时遇到了很多困难。我已经找到了几个.NET OAuth库或帮助程序,但是它们似乎比我想的要复杂。我要做的就是能够向Mendeley API发出REST请求并获得响应! 到目前为止,我已经尝试过: DotNetOpenAuth http://github.com/bittercoder/DevDefined.OAuth http://oauth.googlecode.com/svn/code/csharp/ 第一个(DotNetOpenAuth)似乎可以完成我需要的工作,如果我花了数小时来尝试如何做。据我所知,第二和第三个不支持Mendeley发送回的验证码-尽管我对此可能有误:) 我从Mendeley获得了一个用户密钥和机密,并且使用DotNetOpenAuth设法启动了一个带有Mendeley页面的浏览器,该页面提供了供用户输入应用程序的验证码。但是,这时我迷路了,无法解决如何明智地将其提供回应用程序的问题。 我非常愿意承认,我不知道从哪里开始(尽管似乎有一个陡峭的学习曲线)-如果有人可以指出正确的方向,我将不胜感激!
103 .net  oauth  mendeley 

4
JWT(Json Web令牌)受众“ aud”与Client_Id的区别是什么?
我正在我的认证服务器中实现OAuth 2.0 JWT access_token。但是,我不清楚JWT aud声明和client_idHTTP标头值之间的区别是什么。他们是一样的吗?如果没有,您能否解释两者之间的区别? 我的怀疑是aud应该引用资源服务器,而client_id应该引用身份验证服务器识别的客户端应用程序之一(即Web应用程序或iOS应用程序)。 在我当前的情况下,我的资源服务器也是我的Web应用程序客户端。
103 oauth  oauth-2.0  jwt 

8
通过Google API获取用户信息
是否可以通过Google API从用户个人资料中获取信息?如果可能,我应该使用哪个API? 我对这些信息很感兴趣: 转到用户个人资料(例如https://profiles.google.com/115063121183536852887); 性别(性别); 头像照片。 从用户的个人资料中获取其他信息也很酷。

9
C#中是否有任何JSON Web令牌(JWT)示例?
我觉得我在这里服用疯药。通常,对于任何给定的任务,总会有一百万个库和样本在网上浮动。我试图通过使用JSON网络令牌(JWT)的描述来实现与谷歌的“服务帐户”验证这里。 但是,只有PHP,Python和Java中的客户端库。即使在Google身份验证之外搜索JWT示例,也只有关于JWT概念的和草稿。这真的那么新,可能是Google专有系统吗? 我可以设法解释的最接近的Java示例看起来非常密集且令人生畏。我至少可以从C#那里开始。任何帮助都会很棒!
101 c#  oauth  oauth-2.0  jwt 

7
Facebook OAuth2中access_token的长度是多少?
我在Google和StackOverflow上进行了搜索,以找到针对我的问题的答案,但找不到。 我想将access_token存储到我的数据库中以进行脱机访问,并且我想确保指定正确的列长度。 我什至找不到它是数字还是数字和字符串之间的混合。
100 facebook  oauth 


1
有关生成OAuth令牌的最佳做法?
我意识到OAuth规范并未指定关于ConsumerKey,ConsumerSecret,AccessToken,RequestToken,TokenSecret或Verifier代码的来源的任何信息,但是我很好奇是否存在创建显着安全的令牌(尤其是Token /秘密组合)。 如我所见,有几种创建令牌的方法: 只需使用随机字节,存储在与使用者/用户关联的数据库中 散列一些特定于用户/消费者的数据,存储在与消费者/用户关联的数据库中 加密用户/消费者特定的数据 (1)的优点是数据库是看起来最安全的信息的唯一来源。攻击要比(2)或(3)难。 散列实际数据(2)将允许从可能已经已知的数据中重新生成令牌。可能不会真正为(1)提供任何优势,因为无论如何都需要存储/查找。比(1)占用更多的CPU资源。 加密真实数据(3)将允许解密以了解信息。与(1)和(2)相比,这将需要较少的存储空间并可能需要更少的查找,但是安全性也可能较低。 还有其他应考虑的方法/优点/缺点吗? 编辑:另一个考虑是令牌中必须有某种随机值,因为必须存在过期和重新发行新令牌的能力,因此它不能仅由真实数据组成。 遵循问题: 是否有最小令牌长度才能显着地确保密码安全?据我了解,更长的令牌机密会创建更安全的签名。这种理解正确吗? 从散列的角度来看,使用特定编码相对于其他编码是否有优势?例如,我看到很多使用十六进制编码的API(例如GUID字符串)。在OAuth签名算法中,令牌用作字符串。如果使用十六进制字符串,则可用的字符集将比使用Base64编码的字符集小得多(更可预测)。在我看来,对于两个长度相等的字符串,具有较大字符集的字符串将具有更好/更广泛的哈希分布。在我看来,这将提高安全性。这个假设正确吗? OAuth规范在11.10秘密熵中提出了这个问题。

3
OAuth 2.0中的客户端机密
要使用Google Drive API,我必须使用OAuth2.0进行身份验证。我对此有一些疑问。 客户端ID和客户端机密用于识别我的应用程序。但是,如果是客户端应用程序,则必须对其进行硬编码。因此,每个人都可以反编译我的应用程序并从源代码中提取它们。这是否意味着坏应用程序可以使用好应用程序的客户端ID和机密假装成好应用程序?因此,即使实际上是由不良应用程序提出的请求,用户也会显示一个屏幕,要求授予对良好应用程序的许可?如果是,该怎么办?还是实际上我不应该为此担心? 在移动应用程序中,我们可以将Webview嵌入到我们的应用程序中。而且很容易提取Web视图中的密码字段,因为要求许可的应用程序实际上是“浏览器”。那么,移动应用程序中的OAuth是否没有客户端应用程序无法访问服务提供商的用户凭证的好处?

3
如何保护RESTful Web服务?
我必须实现安全的RESTful Web服务。我已经使用Google进行了一些研究,但遇到了麻烦。 选项: TLS(HTTPS)+ HTTP基本(pc1oad1etter) HTTP摘要 两足式 OAuth 基于Cookie的方法 客户端证书(Tom Ritter和此处) 使用HMAC签署的请求且寿命有限 还有更多可能的选择要考虑吗?如果是OAuth,那么什么版本?有关系吗 从到目前为止的内容来看,带有承载令牌(没有签名)的OAuth 2.0似乎是不安全的。 我发现了另一篇有关基于REST的身份验证的非常有趣的文章。 保护您的REST API ...正确的方法

1
OAuth授权与身份验证
OAuth术语已经困扰我很长时间了。是有人建议的OAuth授权还是身份验证? 如果我错了,请纠正我,但我一直将授权视为允许某人访问资源的行为,但OAuth似乎没有任何实现实际上允许用户访问给定资源的实现。所有讨论的OAuth实现都是为用户提供令牌(已签名且有时是加密的)。然后,此令牌随每次调用传递给后端服务端点,在该端点中检查令牌的有效性,这与OAuth无关。 我是否认为OAuth身份验证(每篇文章都说不是)要求用户提供凭据,从而证明用户应该/应该没有访问权限? 因此,似乎OAuth不是授权NOR身份验证,因为这些必须由其他进程执行。那到底是什么呢?它是传递令牌的过程吗?真的没有具体含义的绒毛字吗? 不听起来神秘和迷信(鬼魂和妖精)就很难问这个问题,所以我希望回答这个问题也不是一件容易的事。输入您自担风险。
87 oauth  oauth-2.0 

9
使用OAuth验证用户的Twitter身份后,是否可以获取用户的电子邮件ID?
我是OAuth的新手,并且一直在使用Twitter API。通过向发送请求,我可以在身份验证后获取用户的凭据http://api.twitter.com/1/account/verify_credentials.xml。响应中包含用户ID,屏幕名称等,但不包含电子邮件ID。 是否可以完全检索用户的电子邮件ID? 更新资料 我相信,如果您明确要求扩展权限, Facebook会提供此信息。Twitter有类似的东西吗?

2
身份验证与资源服务器之间的OAuth v2通信
我在了解OAUTH-v2的工作方式时遇到了一些麻烦。 该OAuth的版本2的规格如下: 访问受保护的资源 客户端通过向 资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证 访问令牌,并确保它没有过期,并且其范围涵盖 所请求的资源。资源服务器用来 验证访问令牌(以及任何错误响应)的方法超出了本规范的范围,但通常涉及资源服务器与授权 服务器之间的交互或协调。 在实践中,资源服务器和授权服务器之间的交互如何工作? 资源服务器如何确定接收到的访问令牌有效? 资源服务器如何从令牌中提取允许的作用域,以查看是否应授予对特定资源的访问权限?范围是在访问令牌中编码的,还是资源服务器首先必须与授权服务器联系? 如何在资源服务器和授权服务器之间建立信任? 访问令牌属性和用于访问受保护资源的方法超出了本规范的范围,并由随附规范定义。 有人可以提供令牌属性的示例吗?

5
卷曲错误60,SSL证书问题:证书链中的自签名证书
我尝试将带有正确APP_ID,APP_SECRET等的curl请求发送到 https://oauth.vk.com/access_token?client_id=APP_ID&client_secret=APP_SECRET&code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a&redirect_uri=REDIRECT_URI 我需要从中获取access_token,但需要返回FALSE并curl_error()打印下一条消息: 60: SSL certificate problem: self signed certificate in certificate chain 我的代码是: // create curl resource $ch = curl_init(); // set url curl_setopt($ch, CURLOPT_URL, $url); //return the transfer as a string curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // $output contains the output string $output = curl_exec($ch); if ( ! $output) { …
79 php  curl  oauth  vk 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.