OAuth (Open Authorization) to specyfikacja umożliwiająca aplikacjom klienckim dostęp do chronionych zasobów w imieniu użytkownika. Został opracowany jako alternatywa dla użytkowników udostępniających swoje dane logowania do aplikacji innych firm.
Sekcja 4.2 projektu protokołu OAuth 2.0 wskazuje, że serwer autoryzacji może zwrócić zarówno access_token(używany do uwierzytelnienia się w zasobie), jak i taki refresh_token, który służy wyłącznie do utworzenia nowego access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Dlaczego oba? Dlaczego nie zrobić access_tokenostatniego tak długo, jak refresh_tokennie ma refresh_token?
Czy w prostych słowach ktoś może wyjaśnić różnicę między OAuth 2 i OAuth 1? Czy OAuth 1 jest już przestarzały? Czy powinniśmy wdrażać OAuth 2? Nie widzę wielu implementacji OAuth 2; większość nadal używa OAuth 1, co budzi wątpliwości, że OAuth 2 jest gotowy do użycia. Czy to jest
Mam HttpClient, którego używam dla interfejsu API REST. Mam jednak problem z ustawieniem nagłówka autoryzacji. Muszę ustawić nagłówek na token, który otrzymałem od wykonania mojego żądania OAuth. Widziałem trochę kodu dla .NET, który sugeruje następujące, httpClient.DefaultRequestHeaders.Authorization = new Credential(OAuth.token); Jednak klasa poświadczeń nie istnieje w WinRT. Czy ktoś ma jakieś …
Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby koncentrowało się na jednym problemie, edytując ten post . Zamknięte 3 lata temu . Chcę zbudować usługę sieci Web RESTful przy użyciu interfejsu API sieci Web ASP.NET, z którego programiści …
Mam nowe SPA z bezstanowym modelem uwierzytelniania przy użyciu JWT. Często jestem proszony o odesłanie OAuth w przypadku przepływów uwierzytelniania, takich jak proszenie mnie o wysyłanie „tokenów nośnika” dla każdego żądania zamiast prostego nagłówka tokena, ale myślę, że OAuth jest o wiele bardziej złożony niż zwykłe uwierzytelnianie oparte na JWT. …
Dzięki przepływowi „niejawnemu” klient (prawdopodobnie przeglądarka) otrzyma token dostępu po tym, jak właściciel zasobu (tj. Użytkownik) udzieli dostępu. Jednak przy przepływie „kodu autoryzacyjnego” klient (zazwyczaj serwer WWW) otrzymuje kod autoryzacyjny dopiero po tym, jak właściciel zasobu (tj. Użytkownik) udzieli dostępu. Za pomocą tego kodu autoryzacji klient wykonuje kolejne wywołanie API …
Czy ktoś mógłby wyjaśnić, co jest dobrego w OAuth2 i dlaczego powinniśmy to wdrożyć? Pytam, bo jestem trochę zdezorientowany - oto moje obecne przemyślenia: Żądania OAuth1 (a dokładniej HMAC) wydają się logiczne, łatwe do zrozumienia, łatwe do opracowania i naprawdę, naprawdę bezpieczne. Zamiast tego OAuth2 wysyła żądania autoryzacji, tokeny dostępu …
Nie wiem, czy mam po prostu jakiś martwy punkt lub coś, ale przeczytałem specyfikację OAuth 2 wiele razy i przejrzałem archiwa listy mailingowej, i muszę jeszcze znaleźć dobre wyjaśnienie, dlaczego Implicit Grant opracowano przepływ w celu uzyskania tokenów dostępu. W porównaniu do przyznania kodu autoryzacji wydaje się, że po prostu …
Zacznę od stwierdzenia, że od dłuższego czasu szukałem odpowiedzi na to pytanie ... Próbuję skonfigurować Facebook OAuth do pracy z moją aplikacją, która jest rozwijana lokalnie na moim komputerze. Wszystko działało idealnie z autoryzacją Facebooka, dopóki nie przeniosłem się z localhostinnej nazwy domeny (nadal lokalnej na mój komputer). Teraz pojawia …
Tło: Projektuję schemat uwierzytelniania dla usługi internetowej REST. To nie „naprawdę” musi być bezpieczne (jest to bardziej osobisty projekt), ale chcę, aby było to tak bezpieczne, jak to możliwe, jako ćwiczenie / nauka. Nie chcę używać protokołu SSL, ponieważ nie chcę problemów i, głównie, kosztów związanych z jego konfiguracją. Te …
Właśnie zaczynam pracę z Google API i OAuth2. Gdy klient autoryzuje moją aplikację, otrzymuję „token odświeżania” i krótkotrwały „token dostępu”. Teraz za każdym razem, gdy wygaśnie token dostępu, mogę wysłać mój token odświeżania do Google, a oni dadzą mi nowy token dostępu. Moje pytanie brzmi: jaki jest cel wygasania tokena …
Czym dokładnie jest OAuth (otwarta autoryzacja)? Zebrałem trochę informacji OAuth Samouczek na Twitterze: Co to jest OAuth i co to oznacza dla Ciebie Co to jest OAuth Ale chcę się uczyć i wiedzieć więcej. Szukam informacji o cyklu życia. Dlaczego większość sieci społecznościowych polega na tym otwartym protokole? Czy stanie …
Przegląd Chcę utworzyć interfejs API (REST) dla mojej aplikacji. Początkowym / głównym celem będzie konsumpcja przez aplikacje mobilne (iPhone, Android, Symbian itp.). Badałem różne mechanizmy uwierzytelniania i autoryzacji internetowych interfejsów API (badając inne implementacje). Mam głowę wokół większości podstawowych koncepcji, ale wciąż szukam wskazówek w kilku obszarach. Ostatnią rzeczą, którą …
Zastanawiam się, czy powinienem używać protokołu CAS lub OAuth + jakiegoś dostawcy uwierzytelniania do pojedynczego logowania. Przykładowy scenariusz: Użytkownik próbuje uzyskać dostęp do chronionego zasobu, ale nie jest uwierzytelniony. Aplikacja przekierowuje użytkownika na serwer SSO. W przypadku uwierzytelnienia użytkownik otrzymuje token z serwera SSO. SSO przekierowuje do oryginalnej aplikacji. Oryginalna …
Używamy plików cookie i innych technologii śledzenia w celu poprawy komfortu przeglądania naszej witryny, aby wyświetlać spersonalizowane treści i ukierunkowane reklamy, analizować ruch w naszej witrynie, i zrozumieć, skąd pochodzą nasi goście.
Kontynuując, wyrażasz zgodę na korzystanie z plików cookie i innych technologii śledzenia oraz potwierdzasz, że masz co najmniej 16 lat lub zgodę rodzica lub opiekuna.