Questions tagged «oauth2»

我有一个使用oAuth2的API和我自己的使用此API作为后端的移动应用。由于用户可以同时通过多个设备（例如iPhone，iPad，Android平板电脑或Android手机）登录，因此我需要API来区分每个连接。我想通过单独的访问令牌来执行此操作：每个客户端都获得一个单独的访问令牌。 问题是我们使用的当前实现（spring-security-oauth2）基于client_id，用户名和范围生成唯一的密钥。因此，基本上，当获得访问令牌时，所有客户端都会为同一用户获得相同的访问令牌。这是使用DefaultAuthenticationKeyGenerator完成的。 忽略身份验证密钥生成器并仅在来自客户端的每个请求上简单地创建一个新的访问令牌是否安全？

13 spring  oauth2 

我目前有一个拥有15年历史的单片式Web应用程序，具有近一百万的用户，使用自制的授权和身份验证系统：JAAS，用户名和密码存储在具有基本密码哈希的DB中，还有一些2FA个人验证问题（不同哈希算法等）。 在接下来的12-18个月中，我将全面检查应用程序，主要侧重于UI，但同时还要慢慢升级基础部分（升级到Spring，Spring Security等）。在这个项目中，我们决定逐个模块解决UI升级；完成每个模块后，使其可用；一个绝好的机会，可以将整体拆分成单独的Web应用程序（所有应用程序都保持相同的UX设计）。 我在计划和解决方案时遇到的问题是在身份验证和授权级别。我需要一个跨领域的解决方案，该解决方案应涵盖所有模块，以便将用户从一个Web应用程序定向到另一个Web应用程序时，这是一个无缝过渡-他们甚至都不知道他们位于不同的Web应用程序上。OAuth2听起来是完美的解决方案。 我一直在努力了解如何整合这一点。我是否必须构建自己的自定义OAuth2服务器？那让我感到震惊。但是我该如何： 将我所有的用户帐户和授权过程迁移到第三方OAuth2服务器 自定义外观以匹配我的应用程序的其余部分（不确定这将有多容易/可能） 阻止通过第三方服务器连接时出现典型的“应用程序XYZ想要访问您的帐户的权限...”弹出窗口？（例如：Google OpenID，Facebook等）。 我的目标是为用户提供从当前状态到新状态的无缝过渡，但提供创建独立的Web应用程序的功能，这些功能都可以在Web应用程序外部进行身份验证和授权。

10 web-applications  spring  oauth2 

我已经阅读了很多有关OAuth2的文章，试图弄清楚它，但是我仍然对某些事情感到困惑。 我了解到客户端已向OAuth提供者（例如Google）授权，并允许资源服务器访问用户的个人资料数据。然后，客户端可以将访问令牌发送到资源服务器，并获得资源。 但是，在任何文档中似乎都没有涵盖的内容是，当客户端应用向资源服务器请求资源并向其传递访问令牌时，会发生什么。到目前为止，我阅读的所有内容都指出资源服务器只是以请求的资源作为响应。 但这似乎是一个巨大的漏洞，资源服务器肯定必须以某种方式验证访问令牌，否则我可以伪造任何旧请求并传递旧的，被盗的，伪造的或随机生成的令牌，它只会接受它。 谁能指出我对OAuth2的简单理解，因为到目前为止，我阅读的内容仍不完整。

10 security  oauth2 

使用ASP.NET Core制作新网站时，我想尽全力。我希望用户访问我的网站能够使用Facebook和Google等社交媒体进行注册和登录。在他们向我的WebAPI请求资源时注册后，我需要知道哪个用户已登录，以便可以根据用户的个性化资源请求。我玩过ASP.NET Core Identity，这似乎提供了我所需的大部分功能-例如，使用Entity Framework向外部提供程序注册，登录和将这些详细信息存储在数据库中-比我真正想要的要神奇的多-许多教程列出了使它工作的步骤，而没有说明它在后台与Facebook对话的工作方式。 在前端，我正在寻找使用Aurelia的方法，并且注意到许多使用Identity Server的教程-我理解这是OpenIDConnect的实现。 看完有关IdentityServer的视频...据我了解，您可以将ASP.NET Core Identity与IdentityServer一起使用。我没有得到的是，这是否对实现ASP.NET Core Identity有用。（这就是说，我似乎找不到用于集成Aurelia和ASP.NET Core Identity的教程...。）与仅使用ASP.NET Core Identity相比，使用Identity Server增加更多复杂性通常有什么好处？

9 asp.net  oauth2