Questions tagged «oauth»

我有一个与YouTube Live Streaming API集成的程序。它运行在计时器上，因此我编程起来相对容易，每隔50分钟使用刷新令牌来获取一个新的访问令牌。我的问题是，为什么？ 当我通过YouTube认证时，它给了我一个刷新令牌。然后，我使用此刷新令牌大约每小时获取一次新的访问令牌。如果我有刷新令牌，因为它永不过期，所以我总是可以使用它来获取新的访问令牌。因此，除了从一开始就给我访问令牌并且不打扰整个“刷新令牌”系统，我看不出这有什么安全性。

110 authentication  oauth  youtube-api  access-token  refresh-token 

我正在学习有关授权的一些​​知识，例如Basic，Digest，OAuth2.0，JWT和Bearer Token。 现在我有一个问题。 您知道JWT被用作OAuth2.0标准中的Access_Token。JWT出现在RFC 7519上，而Bearer Token出现在RFC 6750上。 例如，承载： Authorization: Bearer <token> 我曾经通过AJAX将令牌发送到服务器，或者将令牌添加到url的查询字符串中。我知道令牌也可以通过将其添加到请求标头中来发送。这是否意味着应该将令牌添加到Authorization Bearer标头中？ 您能告诉我JWT和Bearer Token之间的关系吗？非常感谢。

105 oauth  token  jwt 

我正在尝试创建一个基于.NET的客户端应用程序（在WPF中-尽管目前我只是作为控制台应用程序来做），以与支持OAuth的应用程序（特别是Mendeley（http：// dev （.mendeley.com），显然使用了三足式OAuth。 这是我第一次使用OAuth，在开始使用它时遇到了很多困难。我已经找到了几个.NET OAuth库或帮助程序，但是它们似乎比我想的要复杂。我要做的就是能够向Mendeley API发出REST请求并获得响应！ 到目前为止，我已经尝试过： DotNetOpenAuth http://github.com/bittercoder/DevDefined.OAuth http://oauth.googlecode.com/svn/code/csharp/ 第一个（DotNetOpenAuth）似乎可以完成我需要的工作，如果我花了数小时来尝试如何做。据我所知，第二和第三个不支持Mendeley发送回的验证码-尽管我对此可能有误：) 我从Mendeley获得了一个用户密钥和机密，并且使用DotNetOpenAuth设法启动了一个带有Mendeley页面的浏览器，该页面提供了供用户输入应用程序的验证码。但是，这时我迷路了，无法解决如何明智地将其提供回应用程序的问题。 我非常愿意承认，我不知道从哪里开始（尽管似乎有一个陡峭的学习曲线）-如果有人可以指出正确的方向，我将不胜感激！

103 .net  oauth  mendeley 

我正在我的认证服务器中实现OAuth 2.0 JWT access_token。但是，我不清楚JWT aud声明和client_idHTTP标头值之间的区别是什么。他们是一样的吗？如果没有，您能否解释两者之间的区别？ 我的怀疑是aud应该引用资源服务器，而client_id应该引用身份验证服务器识别的客户端应用程序之一（即Web应用程序或iOS应用程序）。 在我当前的情况下，我的资源服务器也是我的Web应用程序客户端。

103 oauth  oauth-2.0  jwt 

是否可以通过Google API从用户个人资料中获取信息？如果可能，我应该使用哪个API？ 我对这些信息很感兴趣： 转到用户个人资料（例如https://profiles.google.com/115063121183536852887）； 性别（性别）； 头像照片。 从用户的个人资料中获取其他信息也很酷。

103 oauth  google-api  userinfo 

我觉得我在这里服用疯药。通常，对于任何给定的任务，总会有一百万个库和样本在网上浮动。我试图通过使用JSON网络令牌（JWT）的描述来实现与谷歌的“服务帐户”验证这里。 但是，只有PHP，Python和Java中的客户端库。即使在Google身份验证之外搜索JWT示例，也只有关于JWT概念的和草稿。这真的那么新，可能是Google专有系统吗？ 我可以设法解释的最接近的Java示例看起来非常密集且令人生畏。我至少可以从C＃那里开始。任何帮助都会很棒！

101 c#  oauth  oauth-2.0  jwt 

我在Google和StackOverflow上进行了搜索，以找到针对我的问题的答案，但找不到。 我想将access_token存储到我的数据库中以进行脱机访问，并且我想确保指定正确的列长度。 我什至找不到它是数字还是数字和字符串之间的混合。

100 facebook  oauth 

SAML和使用OAuth的联合登录之间有什么区别？如果公司要使用第三方Webapp，并且还希望单点登录并成为身份验证机构，那么哪种解决方案更有意义？

100 authentication  oauth  saml 

我意识到OAuth规范并未指定关于ConsumerKey，ConsumerSecret，AccessToken，RequestToken，TokenSecret或Verifier代码的来源的任何信息，但是我很好奇是否存在创建显着安全的令牌（尤其是Token /秘密组合）。 如我所见，有几种创建令牌的方法： 只需使用随机字节，存储在与使用者/用户关联的数据库中 散列一些特定于用户/消费者的数据，存储在与消费者/用户关联的数据库中 加密用户/消费者特定的数据 （1）的优点是数据库是看起来最安全的信息的唯一来源。攻击要比（2）或（3）难。 散列实际数据（2）将允许从可能已经已知的数据中重新生成令牌。可能不会真正为（1）提供任何优势，因为无论如何都需要存储/查找。比（1）占用更多的CPU资源。 加密真实数据（3）将允许解密以了解信息。与（1）和（2）相比，这将需要较少的存储空间并可能需要更少的查找，但是安全性也可能较低。 还有其他应考虑的方法/优点/缺点吗？ 编辑：另一个考虑是令牌中必须有某种随机值，因为必须存在过期和重新发行新令牌的能力，因此它不能仅由真实数据组成。 遵循问题： 是否有最小令牌长度才能显着地确保密码安全？据我了解，更长的令牌机密会创建更安全的签名。这种理解正确吗？ 从散列的角度来看，使用特定编码相对于其他编码是否有优势？例如，我看到很多使用十六进制编码的API（例如GUID字符串）。在OAuth签名算法中，令牌用作字符串。如果使用十六进制字符串，则可用的字符集将比使用Base64编码的字符集小得多（更可预测）。在我看来，对于两个长度相等的字符串，具有较大字符集的字符串将具有更好/更广泛的哈希分布。在我看来，这将提高安全性。这个假设正确吗？ OAuth规范在11.10秘密熵中提出了这个问题。

100 security  encryption  oauth  hash 

要使用Google Drive API，我必须使用OAuth2.0进行身份验证。我对此有一些疑问。 客户端ID和客户端机密用于识别我的应用程序。但是，如果是客户端应用程序，则必须对其进行硬编码。因此，每个人都可以反编译我的应用程序并从源代码中提取它们。这是否意味着坏应用程序可以使用好应用程序的客户端ID和机密假装成好应用程序？因此，即使实际上是由不良应用程序提出的请求，用户也会显示一个屏幕，要求授予对良好应用程序的许可？如果是，该怎么办？还是实际上我不应该为此担心？ 在移动应用程序中，我们可以将Webview嵌入到我们的应用程序中。而且很容易提取Web视图中的密码字段，因为要求许可的应用程序实际上是“浏览器”。那么，移动应用程序中的OAuth是否没有客户端应用程序无法访问服务提供商的用户凭证的好处？

95 security  oauth  google-api  oauth-2.0 

我必须实现安全的RESTful Web服务。我已经使用Google进行了一些研究，但遇到了麻烦。 选项： TLS（HTTPS）+ HTTP基本（pc1oad1etter） HTTP摘要 两足式 OAuth 基于Cookie的方法 客户端证书（Tom Ritter和此处） 使用HMAC签署的请求且寿命有限 还有更多可能的选择要考虑吗？如果是OAuth，那么什么版本？有关系吗 从到目前为止的内容来看，带有承载令牌（没有签名）的OAuth 2.0似乎是不安全的。 我发现了另一篇有关基于REST的身份验证的非常有趣的文章。 保护您的REST API ...正确的方法

88 web-services  security  rest  oauth  restful-authentication 

OAuth术语已经困扰我很长时间了。是有人建议的OAuth授权还是身份验证？ 如果我错了，请纠正我，但我一直将授权视为允许某人访问资源的行为，但OAuth似乎没有任何实现实际上允许用户访问给定资源的实现。所有讨论的OAuth实现都是为用户提供令牌（已签名且有时是加密的）。然后，此令牌随每次调用传递给后端服务端点，在该端点中检查令牌的有效性，这与OAuth无关。 我是否认为OAuth身份验证（每篇文章都说不是）要求用户提供凭据，从而证明用户应该/应该没有访问权限？ 因此，似乎OAuth不是授权NOR身份验证，因为这些必须由其他进程执行。那到底是什么呢？它是传递令牌的过程吗？真的没有具体含义的绒毛字吗？ 不听起来神秘和迷信（鬼魂和妖精）就很难问这个问题，所以我希望回答这个问题也不是一件容易的事。输入您自担风险。

87 oauth  oauth-2.0 

我是OAuth的新手，并且一直在使用Twitter API。通过向发送请求，我可以在身份验证后获取用户的凭据http://api.twitter.com/1/account/verify_credentials.xml。响应中包含用户ID，屏幕名称等，但不包含电子邮件ID。 是否可以完全检索用户的电子邮件ID？ 更新资料 我相信，如果您明确要求扩展权限， Facebook会提供此信息。Twitter有类似的东西吗？

85 twitter  oauth  twitter-oauth 

我在了解OAUTH-v2的工作方式时遇到了一些麻烦。 该OAuth的版本2的规格如下： 访问受保护的资源 客户端通过向 资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证 访问令牌，并确保它没有过期，并且其范围涵盖 所请求的资源。资源服务器用来 验证访问令牌（以及任何错误响应）的方法超出了本规范的范围，但通常涉及资源服务器与授权 服务器之间的交互或协调。 在实践中，资源服务器和授权服务器之间的交互如何工作？ 资源服务器如何确定接收到的访问令牌有效？ 资源服务器如何从令牌中提取允许的作用域，以查看是否应授予对特定资源的访问权限？范围是在访问令牌中编码的，还是资源服务器首先必须与授权服务器联系？ 如何在资源服务器和授权服务器之间建立信任？ 访问令牌属性和用于访问受保护资源的方法超出了本规范的范围，并由随附规范定义。 有人可以提供令牌属性的示例吗？

81 web-services  oauth  authorization  oauth-2.0 

我尝试将带有正确APP_ID，APP_SECRET等的curl请求发送到 https://oauth.vk.com/access_token?client_id=APP_ID&client_secret=APP_SECRET&code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a&redirect_uri=REDIRECT_URI 我需要从中获取access_token，但需要返回FALSE并curl_error()打印下一条消息： 60: SSL certificate problem: self signed certificate in certificate chain 我的代码是： // create curl resource $ch = curl_init(); // set url curl_setopt($ch, CURLOPT_URL, $url); //return the transfer as a string curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // $output contains the output string $output = curl_exec($ch); if ( ! $output) { …

79 php  curl  oauth  vk