คำถามติดแท็ก oauth2

ฉันมี API ที่ใช้ oAuth2 และแอพมือถือของฉันเองที่ใช้ API นี้เป็นแบ็กเอนด์ เนื่องจากผู้ใช้สามารถเข้าสู่ระบบผ่านอุปกรณ์หลายตัว (เช่น iPhone, iPad, แท็บเล็ต Android หรือโทรศัพท์ Android) ในเวลาเดียวกันฉันจึงต้องใช้ API เพื่อแยกแยะระหว่างการเชื่อมต่อแต่ละครั้ง ฉันต้องการทำสิ่งนี้ผ่านโทเค็นการเข้าถึงแยกกัน: ลูกค้าแต่ละคนจะได้รับโทเค็นการเข้าถึงแยกต่างหาก ปัญหาคือการใช้งานปัจจุบันที่เราใช้ (spring-security-oauth2) สร้างคีย์ที่ไม่ซ้ำกันตาม client_id ชื่อผู้ใช้และขอบเขต ดังนั้นโดยทั่วไปเมื่อได้รับโทเค็นการเข้าถึงลูกค้าทั้งหมดจะได้รับโทเค็นการเข้าถึงเดียวกันสำหรับผู้ใช้เดียวกัน สิ่งนี้ทำได้โดยใช้ DefaultAuthenticationKeyGenerator ปลอดภัยหรือไม่หากไม่สนใจตัวสร้างคีย์การรับรองความถูกต้องและเพียงสร้างโทเค็นการเข้าถึงใหม่ในแต่ละคำขอจากลูกค้า

13 spring  oauth2 

ขณะนี้ฉันมีเว็บแอพพลิเคชั่นเสาหินอายุ 15 ปีที่มีผู้ใช้งานเกือบ 1 ล้านคนโดยใช้ระบบการอนุญาตและรับรองความถูกต้อง: JAAS ชื่อผู้ใช้ & ร้านค้า pwds ในฐานข้อมูลด้วยการแฮชรหัสผ่านขั้นพื้นฐาน อัลกอริทึมคร่ำเครียด ฯลฯ ) ฉันจะปรับปรุงแอปพลิเคชั่นในช่วง 12-18 เดือนข้างหน้าโดยเน้นที่ UI เป็นหลัก แต่จะค่อยๆอัพเกรดชิ้นส่วนพื้นฐานเช่นกัน (อัพเกรดเป็น Spring, Spring Security, เป็นต้น) ภายในโครงการนี้เราได้ตัดสินใจที่จะแก้ไขปัญหาการอัพเกรด UI แบบโมดูลต่อโมดูล ทำให้แต่ละโมดูลพร้อมใช้งานเมื่อเสร็จสมบูรณ์ โอกาสที่สมบูรณ์แบบในการแบ่งเสาหินออกเป็นเว็บแอปแต่ละอัน (ทั้งหมดยังคงการออกแบบ UX ที่เหมือนกัน) ที่ฉันพยายามจะวางแผนเรื่องนี้อยู่ที่ระดับการรับรองความถูกต้อง & การอนุญาต ฉันต้องการโซลูชันการตัดขวางที่จะอาร์คโมดูลทั้งหมดดังนั้นเมื่อผู้ใช้ถูกส่งจากเว็บแอปหนึ่งไปยังอีกเว็บหนึ่งนั่นเป็นการเปลี่ยนที่ราบรื่น - พวกเขาไม่รู้ด้วยซ้ำว่าพวกเขาอยู่ในเว็บแอพที่แตกต่างกัน OAuth2 ฟังดูเหมือนเป็นโซลูชั่นที่สมบูรณ์แบบ ฉันกำลังพยายามเข้าใจวิธีรวมสิ่งนี้ ฉันต้องสร้างเซิร์ฟเวอร์ OAuth2 ที่กำหนดเองของตัวเองหรือไม่ นั่นทำให้ฉันชอบความคิดที่แย่มาก แต่ฉันจะ: โอนย้ายบัญชีผู้ใช้และกระบวนการอนุญาตทั้งหมดไปยังเซิร์ฟเวอร์ OAuth2 ของบุคคลที่สาม …

10 web-applications  spring  oauth2 

ฉันอ่านมากเกี่ยวกับ OAuth2 พยายามที่จะเอาหัวไปรอบ ๆ แต่ฉันก็ยังสับสนอยู่ดี ฉันเข้าใจว่าลูกค้าอนุญาตกับผู้ให้บริการ OAuth (Google เป็นต้น) และอนุญาตให้เซิร์ฟเวอร์ทรัพยากรสามารถเข้าถึงข้อมูลโปรไฟล์ของผู้ใช้ได้ จากนั้นไคลเอ็นต์สามารถส่งโทเค็นการเข้าถึงไปยังเซิร์ฟเวอร์ทรัพยากรและได้รับกลับทรัพยากร แต่สิ่งที่ดูเหมือนจะไม่ครอบคลุมในเอกสารใด ๆ คือสิ่งที่เกิดขึ้นเมื่อแอปไคลเอนต์ถามเซิร์ฟเวอร์ทรัพยากรเพื่อหาทรัพยากรและส่งผ่านโทเค็นการเข้าถึง ทุกสิ่งที่ฉันได้อ่านมาจนถึงตอนนี้ระบุว่าเซิร์ฟเวอร์ทรัพยากรเพิ่งตอบสนองกับทรัพยากรที่ร้องขอ แต่ดูเหมือนว่าจะเป็นช่องโหว่ขนาดใหญ่เซิร์ฟเวอร์ทรัพยากรจะต้องตรวจสอบโทเค็นการเข้าถึงมิฉะนั้นฉันสามารถปลอมคำขอเก่า ๆ และส่งโทเค็นเก่าที่ถูกขโมยปลอมหรือสุ่มและมันก็จะยอมรับมัน ทุกคนสามารถชี้ให้ฉันได้อย่างง่ายดายที่จะทำตามคำอธิบายของ OAuth2 เพราะจนถึงตอนที่ฉันได้อ่านรู้สึกไม่สมบูรณ์

10 security  oauth2 

ฉันพยายามที่จะทำให้หัวของฉันเป็นภาพใหญ่เมื่อสร้างเว็บไซต์ใหม่โดยใช้ ASP.NET Core ฉันต้องการให้ผู้ใช้เว็บไซต์ของฉันสามารถลงทะเบียนและเข้าสู่ระบบด้วยโซเชียลมีเดียเช่น Facebook และ Google เมื่อลงทะเบียนเมื่อพวกเขาทำการร้องขอไปยัง WebAPI ของฉันสำหรับทรัพยากรฉันจำเป็นต้องรู้ว่าผู้ใช้คนใดที่เข้าสู่ระบบเพื่อให้คำขอทรัพยากรสามารถทำให้เป็นส่วนตัวกับผู้ใช้ ฉันเคยเล่นกับ ASP.NET Core Identity และดูเหมือนว่าจะมีฟังก์ชั่นมากมายของสิ่งที่ฉันต้องการ - ตัวอย่างเช่นการลงทะเบียนกับผู้ให้บริการภายนอกการเข้าสู่ระบบและการจัดเก็บรายละเอียดเหล่านั้นในฐานข้อมูลโดยใช้ Entity Framework วิเศษกว่าที่ฉันต้องการจริงๆ - ขั้นตอนการสอนหลายรายการเพื่อให้มันทำงานได้โดยไม่ต้องอธิบายว่ามันทำงานอย่างไรในพื้นหลังเพื่อพูดคุยกับ Facebook เป็นต้น ในส่วนหน้าฉันต้องการใช้ Aurelia และฉันสังเกตเห็นบทเรียนจำนวนหนึ่งซึ่งใช้ Identity Server ซึ่งฉันเข้าใจว่าเป็นการใช้งานของ OpenIDConnect ต้องผ่านวิดีโอเกี่ยวกับ IdentityServer ... ฉันเข้าใจว่าคุณสามารถใช้ ASP.NET Core Identity กับ IdentityServer สิ่งที่ฉันไม่ได้รับคือว่าเป็นสิ่งที่มีประโยชน์สำหรับฉันเพียงแค่ใช้ ASP.NET Core Identity (ที่กล่าวว่าฉันดูเหมือนจะไม่สามารถหาบทเรียนสำหรับการบูรณาการ Aurelia, ASP.NET Core Identity ... …

9 asp.net  oauth2