OAuth 2.0基础教程
相关文章
更多最近更新
更多OAuth 2.0 资源拥有者密钥证书授权请求和响应
2019-04-23 00:11|来源: 网路
资源拥有者密钥证书授权请求和响应
资源拥有者者密钥证书授权包含单个的请求+响应。 资源拥有者密钥证书授权请求 请求包含下面的参数:
| grant_type | 必须。必须设置到密码中。 |
|---|---|
| username | 必须。UTF-8编码的资源拥有者用户名。 |
| password | 必须。UTF-8编码的资源拥有者密码。 |
| scope | 可选。授权的作用域。 |
资源拥有者密钥证书授权响应
响应是包含访问令牌的JSON结构数据。JSON结构像这样:
{ "access_token" : "...",
"token_type" : "...",
"expires_in" : "...",
"refresh_token" : "...",
}
access_type属性是授权服务器分配的访问令牌。 token_type是被授权服务器分配的令牌类型。 expires_in属性是指访问令牌过多少秒后,就不再有效。访问令牌过期值是可选的。 refresh_token属性包含令牌过期后刷新的令牌。刷新的令牌用于,一旦响应返回的不再有效时,包含一个新的访问令牌。
相关问答
更多-
OAuth 2.0。(OAuth 2.0. No session? (stateless))[2022-04-01]
你在这里描述的是OAuth 2 隐式授权流程 。 OAuth 2还包含三个其他流程,但由于您的资源所有者(用户)似乎正在使用浏览器端JavaScript(您正在谈论Cookie)发起请求,因此这是您应该使用的流程。 在客户端,OAuth只要求您存储access_token以访问受保护的资源(如果您要访问过期的access_token ,则需要refresh_token )。 What you are describing here, is the OAuth 2 Implicit Grant flow. O ... -
如果您只是检索评论,则无需通过OAuth 。 您可以仅通过HTTP使用API密钥发出请求,并接收JSON响应。 https://www.googleapis.com/youtube/v3/commentThreads?part=snippet&videoId={yourVideoId}&key={YOUR_API_KEY} 更多信息可以在这里找到 You don't need to go through OAuth if you're only retrieving comments. You can m ...
-
经过大量的研究,我发现client_credentials授权类型是为这种情况。 一旦你把这个术语打入谷歌,你可以找到非常有用的资源。 这是三脚OAuth 2.0的正常流程(我们希望用户登录): 假设我们的应用程序中有以下端点进行身份验证: /oauth/auth /oauth/token 通常(用于授权代码授权),我们将用户指向/oauth/auth?state=blah&client_id=myid&redirecturl=mysite.com/blah 然后验证后,用户被重定向到mysite.co ...
-
OAuth 2.0中的客户机密(client secret in OAuth 2.0)[2023-07-19]
我开始写你的问题的评论,但后来发现有太多的说法,所以这里是我对这个问题的看法。 是的,这是一个真正的可能性,有一些基于此的漏洞。 建议不要在你的应用程序中保持应用程序的秘密,甚至在分配的应用程序中也不应该使用这个标记。 现在你可能会问,但XYZ要求它工作。 在这种情况下,他们没有正确地执行规范,并且您应该不使用该服务(不太可能)或B尝试使用一些模糊的方法来保护令牌,从而难以找到或使用您的服务器作为代理。 例如,在Android的Facebook图书馆里有一些漏洞,它将漏洞记录到日志中,您可以在这里找到更多信 ... -
我也同意你的想法。 OAuth2规范没有对此采取对策。 但是那里的供应商为此提供了各种对策。 例如,用户仪表板可供用户查看当前持有授权的应用程序和设备。 然后用户可以撤销任何可疑应用程序。 I too agree with your thinking. The OAuth2 specification doesn't have a countermeasure for this. But the vendors out there provides various countermeasures for t ...
-
您需要按照Google的说明获取应用程序的OAuth 2.0凭据。 You need to follow Google's instructions for obtaining OAuth 2.0 credentials for your application.
-
是的,它应该可以正常工作(假设当您使用https://...访问您的网站时,您的浏览器不会抱怨)。 只要您需要与站点一起使用的所有浏览器都信任该证书(或链中的任何根证书),您就可以使用任何证书(包括自签名)。 即你本地测试你可以使用任何证书,只是忽略验证错误,在组织中你可以安装自己的证书。 对于常规互联网用户,您需要由受信任机构颁发的任何有效SSL证书,因为您实际上不应要求您的用户安装自签名证书。 Yes, it should work just fine (assuming your browser do ...
-
使用AFOAuthing在此处使用AFNetworking完成的是代码 在ViewController.m中 #define CLIENT_ID @"your client id" #define CONSUMER_SECRET @"your consumer secret" 使用safari开始授权。 [[UIApplication sharedApplication] openURL:[NSURL URLWithString:@"https://www.fitbit.com/ ...
-
将'hd = example.com'添加到OAuth2请求中可能会产生预期的结果(非常类似于Google OAuth1流程 )。 但请注意,用户可以修改请求并删除或更改“hd”值。 因此,向hd参数添加特定值并不能保证使用特定的Google Apps域。 收到回复后,您仍应进行其他检查。 希望有所帮助。 Probably adding 'hd=example.com' to the OAuth2 requests will have the desired result (pretty much like ...
-
似乎这是一个重复的问题。 “刷新令牌的想法是,如果访问令牌被泄露,因为它是短暂的,攻击者有一个有限的窗口可以滥用它。 刷新令牌(如果受到攻击)是无用的,因为除了刷新令牌之外,攻击者还需要客户端ID和机密才能获得访问令牌。“ 为什么OAuth v2同时具有访问权限和刷新令牌? Seems like this is a duplicate question. "The idea of refresh tokens is that if an access token is compromised, becaus ...