คำถามติดแท็ก oauth

OAuth (Open Authorization) เป็นข้อกำหนดสำหรับไคลเอ็นต์แอปพลิเคชันในการเข้าถึงทรัพยากรที่มีการป้องกันในนามของผู้ใช้ มันถูกพัฒนาขึ้นเพื่อเป็นทางเลือกให้กับผู้ใช้ที่ส่งมอบข้อมูลรับรองการเข้าสู่ระบบไปยังแอปพลิเคชันบุคคลที่สาม

17
Twitter oAuth callbackUrl - การพัฒนา localhost
มีใครอีกบ้างที่มีช่วงเวลาที่ยากลำบากในการทำให้ URL เรียกกลับของ Twitters oAuth เข้าสู่สภาพแวดล้อมการพัฒนา localhost เห็นได้ชัดว่าเพิ่งถูกปิดใช้งานเมื่อเร็ว ๆ นี้ http://code.google.com/p/twitter-api/issues/detail?id=534#c1 ใครมีวิธีแก้ปัญหา ฉันไม่อยากหยุดพัฒนาตัวเองเลยจริงๆ
112 twitter  oauth 

1
OAuth พร้อมการยืนยันใน. NET
ฉันกำลังพยายามสร้างแอปไคลเอนต์ที่ใช้. NET (ใน WPF - แม้ว่าในขณะนี้ฉันกำลังทำเป็นแอปคอนโซล) เพื่อรวมเข้ากับแอปพลิเคชันที่เปิดใช้งาน OAuth โดยเฉพาะ Mendeley ( http: // dev .mendeley.com ) ซึ่งเห็นได้ชัดว่าใช้ OAuth แบบ 3 ทาง นี่เป็นครั้งแรกที่ฉันใช้ OAuth และฉันประสบปัญหาอย่างมากในการเริ่มต้นใช้งาน ฉันพบไลบรารี. NET OAuth หรือตัวช่วยหลายตัว แต่ดูเหมือนว่าจะซับซ้อนกว่าที่คิด สิ่งที่ฉันต้องการทำคือสามารถส่งคำขอ REST ไปยัง Mendeley API และรับคำตอบกลับมาได้! จนถึงตอนนี้ฉันได้ลอง: DotNetOpenAuth http://github.com/bittercoder/DevDefined.OAuth http://oauth.googlecode.com/svn/code/csharp/ สิ่งแรก (DotNetOpenAuth) ดูเหมือนว่ามันอาจทำในสิ่งที่ฉันต้องการได้ถ้าฉันใช้เวลาหลายชั่วโมงในการพยายามหาวิธี อย่างที่สองและสามอย่างที่ดีที่สุดที่ฉันบอกได้คือไม่รองรับรหัสยืนยันที่ Mendeley ส่งกลับมา - แม้ว่าฉันจะผิดเกี่ยวกับเรื่องนี้ก็ตาม :) ฉันมีรหัสและความลับของผู้บริโภคจาก Mendeley …
103 .net  oauth  mendeley 

4
JWT (Json Web Token) "ผู้ชม" กับ Client_Id - ความแตกต่างคืออะไร?
ฉันกำลังดำเนินการติดตั้ง OAuth 2.0 JWT access_token ในเซิร์ฟเวอร์การตรวจสอบสิทธิ์ของฉัน แต่ฉันไม่ชัดเจนว่าความแตกต่างระหว่างการaudอ้างสิทธิ์JWT และclient_idค่าส่วนหัว HTTP คืออะไร พวกเดียวกันหรือเปล่า? ถ้าไม่คุณสามารถอธิบายความแตกต่างระหว่างทั้งสองได้หรือไม่? ความสงสัยของฉันคือaudควรอ้างถึงเซิร์ฟเวอร์ทรัพยากรและclient_idควรอ้างถึงแอปพลิเคชันไคลเอนต์ตัวใดตัวหนึ่งที่เซิร์ฟเวอร์รับรองความถูกต้อง (เช่นเว็บแอปหรือแอป iOS) ในกรณีปัจจุบันเซิร์ฟเวอร์ทรัพยากรของฉันยังเป็นไคลเอนต์เว็บแอปของฉัน
103 oauth  oauth-2.0  jwt 

8
รับข้อมูลผู้ใช้ผ่าน Google API
สามารถรับข้อมูลจากโปรไฟล์ของผู้ใช้ผ่าน Google API ได้หรือไม่? ถ้าเป็นไปได้ฉันควรใช้ API ใด ฉันสนใจข้อมูลดังกล่าว: URL ไปยังโปรไฟล์ผู้ใช้ (เช่นhttps://profiles.google.com/115063121183536852887 ); เพศ (เพศ); รูปประจำตัว. นอกจากนี้ยังเป็นการดีที่จะได้รับข้อมูลอื่น ๆ จากโปรไฟล์ของผู้ใช้

9
มีตัวอย่าง JSON Web Token (JWT) ใน C # หรือไม่
ฉันรู้สึกเหมือนกำลังกินยาบ้าๆอยู่ที่นี่ โดยปกติแล้วจะมีไลบรารีและตัวอย่างกว่าล้านตัวอย่างลอยอยู่บนเว็บสำหรับงานใด ๆ ก็ตาม ฉันพยายามที่จะใช้การตรวจสอบด้วย Google "บัญชีบริการ" โดยการใช้ JSON เว็บโทเคน (JWT) ตามที่อธิบายไว้ที่นี่ อย่างไรก็ตามมีเฉพาะไลบรารีไคลเอ็นต์ใน PHP, Python และ Java แม้แต่การค้นหาตัวอย่าง JWT นอกการตรวจสอบสิทธิ์ของ Google ก็มีเพียงจิ้งหรีดและร่างแนวคิด JWT นี่เป็นระบบใหม่จริง ๆ และอาจเป็นระบบที่เป็นกรรมสิทธิ์ของ Google หรือไม่ ตัวอย่าง java ที่ใกล้เคียงที่สุดที่ฉันสามารถตีความได้ดูค่อนข้างเข้มข้นและน่ากลัว จะต้องมีบางอย่างใน C # ที่อย่างน้อยฉันก็เริ่มได้ ช่วยด้วยจะดีมาก!
102 c#  oauth  oauth-2.0  jwt 

1
แนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับการสร้างโทเค็น OAuth?
ฉันตระหนักดีว่าข้อมูลจำเพาะ OAuthไม่ได้ระบุอะไรเกี่ยวกับที่มาของ ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret หรือรหัสผู้ตรวจสอบ แต่ฉันสงสัยว่ามีแนวทางปฏิบัติที่ดีที่สุดในการสร้างโทเค็นที่ปลอดภัยอย่างมีนัยสำคัญหรือไม่ (โดยเฉพาะโทเค็น / การรวมความลับ) อย่างที่ฉันเห็นมีหลายวิธีในการสร้างโทเค็น: เพียงใช้ไบต์สุ่มเก็บในฐานข้อมูลที่เกี่ยวข้องกับผู้บริโภค / ผู้ใช้ แฮชข้อมูลเฉพาะของผู้ใช้ / ผู้บริโภคจัดเก็บในฐานข้อมูลที่เกี่ยวข้องกับผู้บริโภค / ผู้ใช้ เข้ารหัสข้อมูลเฉพาะผู้ใช้ / ผู้บริโภค ข้อดีของ (1) คือฐานข้อมูลเป็นแหล่งข้อมูลเดียวที่ดูเหมือนปลอดภัยที่สุด มันจะยากกว่าที่จะโจมตีมากกว่า (2) หรือ (3) การแฮ็กข้อมูลจริง (2) จะช่วยให้สามารถสร้างโทเค็นขึ้นมาใหม่จากข้อมูลที่น่าจะเป็นที่รู้จักอยู่แล้ว อาจไม่ได้ให้ประโยชน์ใด ๆ กับ (1) เนื่องจากจะต้องจัดเก็บ / ค้นหาอยู่ดี CPU เข้มข้นมากกว่า (1) การเข้ารหัสข้อมูลจริง (3) จะช่วยให้การถอดรหัสทราบข้อมูล สิ่งนี้จะต้องใช้พื้นที่จัดเก็บน้อยกว่าและอาจมีการค้นหาน้อยกว่า (1) & …

7
access_token ใน Facebook OAuth2 มีความยาวเท่าใด
ฉันค้นหาใน Google และ StackOverflow เพื่อหาคำตอบสำหรับคำถามของฉัน แต่ไม่พบ ฉันต้องการจัดเก็บ access_token ไว้ในฐานข้อมูลของฉันสำหรับการเข้าถึงแบบออฟไลน์และฉันต้องการระบุความยาวของคอลัมน์ที่ถูกต้อง ฉันหาไม่เจอว่ามันเป็นแค่ตัวเลขหรือส่วนผสมระหว่างตัวเลขกับสตริง
100 facebook  oauth 

7
SAML เทียบกับการเข้าสู่ระบบแบบรวมศูนย์ด้วย OAuth
SAML และการเข้าสู่ระบบแบบรวมกับ OAuth ต่างกันอย่างไร โซลูชันใดที่เหมาะสมกว่าหาก บริษัท ต้องการใช้เว็บแอปของบุคคลที่สามและต้องการการลงชื่อเพียงครั้งเดียวและเป็นผู้มีอำนาจในการตรวจสอบสิทธิ์

4
จุดประสงค์ของ“ Refresh Token” คืออะไร?
ฉันมีโปรแกรมที่ทำงานร่วมกับ YouTube Live Streaming API มันทำงานบนตัวจับเวลาดังนั้นมันจึงค่อนข้างง่ายสำหรับฉันที่จะตั้งโปรแกรมเพื่อดึง Access Token ใหม่ทุกๆ 50 นาทีด้วย Refresh Token คำถามของฉันคือทำไม? เมื่อฉันตรวจสอบสิทธิ์กับ YouTube มันให้ Refresh Token แก่ฉัน จากนั้นฉันใช้โทเค็นการรีเฟรชนี้เพื่อรับโทเค็นการเข้าถึงใหม่ประมาณชั่วโมงละครั้ง หากฉันมี Refresh Token ฉันสามารถใช้สิ่งนี้เพื่อรับโทเค็นการเข้าถึงใหม่ได้ตลอดเวลาเนื่องจากไม่มีวันหมดอายุ ดังนั้นฉันจึงไม่เห็นว่าสิ่งนี้ปลอดภัยไปกว่าการให้ Access Token ตั้งแต่เริ่มต้นและไม่ต้องกังวลกับระบบ Refresh Token ทั้งหมด

3
ข้อมูลลับของไคลเอ็นต์ใน OAuth 2.0
ในการใช้ google drive api ฉันต้องเล่นกับการรับรองความถูกต้องโดยใช้ OAuth2.0 และฉันมีคำถามสองสามข้อเกี่ยวกับเรื่องนี้ รหัสลูกค้าและความลับของไคลเอ็นต์ใช้เพื่อระบุว่าแอปของฉันคืออะไร แต่จะต้องเป็นฮาร์ดโค้ดหากเป็นแอปพลิเคชันไคลเอนต์ ดังนั้นทุกคนสามารถถอดรหัสแอปของฉันและแยกออกจากซอร์สโค้ดได้ หมายความว่าแอปที่ไม่ดีสามารถแอบอ้างว่าเป็นแอปที่ดีโดยใช้รหัสไคลเอ็นต์และรหัสลับของแอปที่ดีได้หรือไม่? ดังนั้นผู้ใช้จะแสดงหน้าจอว่าขออนุญาตแอพที่ดีแม้ว่าจะถูกถามโดยแอพที่ไม่ดีจริง ๆ ? ถ้าใช่ฉันควรทำอย่างไร? หรือจริงๆแล้วฉันไม่ควรกังวลเกี่ยวกับเรื่องนี้? ในแอปพลิเคชันมือถือเราสามารถฝังมุมมองเว็บลงในแอปของเราได้ และง่ายต่อการแยกช่องรหัสผ่านใน webview เนื่องจากแอปที่ขออนุญาตเป็น "เบราว์เซอร์" จริงๆ ดังนั้น OAuth ในแอปพลิเคชันมือถือจึงไม่มีประโยชน์ที่แอปพลิเคชันไคลเอนต์ไม่สามารถเข้าถึงข้อมูลรับรองผู้ใช้ของผู้ให้บริการ?

1
OAuth Authorization vs Authentication
คำศัพท์ OAuth รบกวนฉันมานานแล้ว การให้สิทธิ์ OAuth เป็นไปตามที่บางคนแนะนำหรือเป็นการตรวจสอบสิทธิ์ แก้ไขฉันหากฉันผิด แต่ฉันอ่านการอนุญาตมาโดยตลอดว่าเป็นการอนุญาตให้บุคคลอื่นเข้าถึงทรัพยากร แต่ OAuth ดูเหมือนจะไม่มีการใช้งานใด ๆ ที่ช่วยให้ผู้ใช้เข้าถึงทรัพยากรที่กำหนดได้ การใช้งาน OAuth ทั้งหมดที่พูดถึงคือการให้โทเค็นแก่ผู้ใช้ (ลงนามและเข้ารหัสบางครั้ง) จากนั้นโทเค็นนี้จะถูกส่งไปพร้อมกับการเรียกทุกครั้งไปยังจุดสิ้นสุดของบริการส่วนหลังซึ่งมีการตรวจสอบความถูกต้องอีกครั้งไม่ใช่ข้อกังวลเกี่ยวกับ OAuth การตรวจสอบสิทธิ์ OAuth คืออะไร (ทุกบทความบอกว่าไม่ใช่) ซึ่งฉันใช้มันต้องการให้ผู้ใช้ระบุข้อมูลรับรองซึ่งจะพิสูจน์ได้ว่าผู้ใช้ควร / ไม่ควรมีสิทธิ์เข้าถึงหรือไม่ ดังนั้นดูเหมือนว่า OAuth ไม่ใช่ Authorization NOR Authentication เนื่องจากสิ่งเหล่านี้ต้องดำเนินการโดยกระบวนการอื่น แล้วห่ามันคืออะไร? เป็นกระบวนการในการสื่อสารโทเค็นหรือไม่? เป็นคำปุยที่ไม่มีความหมายเฉพาะหรือไม่? เป็นเรื่องยากที่จะถามคำถามเกี่ยวกับเรื่องนี้โดยไม่ฟังดูลึกลับและเชื่อโชคลาง (ผีและก็อบลิน) ดังนั้นฉันคาดหวังว่าการตอบคำถามนี้จะไม่ใช่เรื่องง่ายเช่นกัน ยอมรับความเสี่ยงของคุณเอง
90 oauth  oauth-2.0 

3
วิธีการรักษาความปลอดภัยบริการเว็บ RESTful?
ฉันมีการดำเนินการรักษาความปลอดภัยบริการเว็บสงบ ฉันได้หาข้อมูลโดยใช้ Google แล้ว แต่ฉันติดขัด ตัวเลือก: TLS (HTTPS) + HTTP พื้นฐาน (pc1oad1etter) HTTP Digest OAuth สองทาง แนวทางที่อิงตามคุกกี้ ใบรับรองลูกค้า (Tom Ritter และที่นี่ ) คำขอที่ลงชื่อโดยใช้HMACและอายุการใช้งานที่ จำกัด มีตัวเลือกอื่น ๆ ที่เป็นไปได้ให้พิจารณาหรือไม่? ถ้า OAuth แล้วรุ่นอะไร มันสำคัญหรือไม่? จากสิ่งที่ผมได้อ่านเพื่อให้ห่างไกลOAuth 2.0พร้อมด้วยสัญญาณถือ (ที่ไม่มีลายเซ็น) ดูเหมือนว่าจะไม่ปลอดภัย ฉันได้พบบทความที่น่าสนใจอีกมากในการตรวจสอบส่วนที่เหลือตาม รักษาความปลอดภัย REST API ของคุณ ... วิธีที่ถูกต้อง

9
มีวิธีรับรหัสอีเมลของผู้ใช้หลังจากยืนยันตัวตน Twitter โดยใช้ OAuth หรือไม่
ฉันยังใหม่กับ OAuth และได้เล่นกับ Twitter API http://api.twitter.com/1/account/verify_credentials.xmlฉันสามารถที่จะดึงข้อมูลประจำตัวของผู้ใช้หลังจากการตรวจสอบโดยการร้องขอไปยัง การตอบกลับประกอบด้วย ID ผู้ใช้ชื่อหน้าจอ ฯลฯ แต่ไม่ใช่ ID อีเมล เป็นไปได้หรือไม่ที่จะดึงรหัสอีเมลของผู้ใช้ อัปเดต ผมเชื่อว่า Facebook ให้ข้อมูลนี้โดยเฉพาะถ้าคุณขอสิทธิ์ในการขยาย มีอะไรที่คล้ายกันสำหรับ Twitter หรือไม่?

2
ความปลอดภัยข้ามโดเมน OAuth ป๊อปอัป React.js
ฉันสนใจที่จะใช้ OAuth ใน React โดยใช้ป๊อปอัพ ( window.open) เช่นฉันมี: mysite.com - นี่คือที่ฉันเปิดป๊อปอัพ passport.mysite.com/oauth/authorize - ป๊อปอัพ. คำถามหลักคือวิธีการสร้างการเชื่อมต่อระหว่างwindow.open(ป๊อปอัพ) และwindow.opener(เนื่องจากเป็นที่รู้จักกันว่า window.opener นั้นเป็นโมฆะเนื่องจากความปลอดภัยข้ามโดเมนดังนั้นเราจึงไม่สามารถใช้งานได้อีกต่อไป) ⇑ window.openerจะถูกลบเมื่อใดก็ตามที่คุณนำทางไปยังโฮสต์อื่น (เพื่อเหตุผลด้านความปลอดภัย) ไม่มีวิธีแก้ไข ตัวเลือกเดียวควรทำการชำระเงินในเฟรมถ้าเป็นไปได้ เอกสารด้านบนต้องอยู่ในโฮสต์เดียวกัน โครงการ: การแก้ปัญหาที่เป็นไปได้: ตรวจสอบหน้าต่างที่เปิดใช้setIntervalอธิบายไว้ที่นี่ ใช้cross-storage (ไม่คุ้มค่ากับมัน) ดังนั้นวิธีที่ดีที่สุดที่แนะนำในปี 2019 คืออะไร? แรปเปอร์สำหรับทำปฏิกิริยา - https://github.com/Ramshackle-Jamathon/react-oauth-popup

2
โทเค็นทึบแสงคืออะไร
และหมายความว่าพวกเขาอยู่ใน "รูปแบบกรรมสิทธิ์"? ฉันกำลังอ่านเกี่ยวกับโทเค็นรีเฟรช JWT และพวกเขาเป็นโทเค็นทึบแสง แต่ฉันไม่เข้าใจคำศัพท์
9 oauth  oauth-2.0  jwt  token 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.