个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
26
4
我正在开发一个带有移动客户端的应用程序,我想为其部署 Oauth2orize 作为 Oauth 服务器,并使用资源所有者密码方式进行身份验证。但我无法理解流程应该如何。我搜索了很多示例,但找不到使用此示例的示例。
向客户端提供 token 的流程应该是什么?
最佳答案
这有点晚了,但我认为这篇文章可以帮助其他人。我刚刚花了一周时间尝试实现这一点,因为 oauth2orize 将所有 oauth 流程混合在示例的一个文件中,因此很难确定使用哪个流程来获得所需的结果。
要开始回答您的问题,您会询问有关资源所有者密码授予的问题,如here所述.这应该让您在 oauth2 定义的步骤上抢先一步,用用户名(或电子邮件)和密码交换 token 和可选的刷新 token 。
第 1 步:客户端使用用户名和密码向授权服务器请求 token
第 2 步:如果客户端具有有效凭据,授权服务器会向客户端颁发 token
因此,您开始以 application/x-www-form-urlencoded 格式向身份验证资源发送请求,其中包含用户名、密码和 grant_type 参数,您也可以选择使用范围。 Oauth2orize 提供了 server.token() 函数,它生成一个中间件来解析这个请求。
app.post('/token', server.token(), server.errorHandler());
但在此阶段之前,您应该创建并配置服务器。我通常使用不同的文件并使用 module.exports 将中间件传回应用程序。
授权.js文件
// Create the server
var server = oauth2orize.createServer();
// Setup the server to exchange a password for a token
server.exchange(oauth2orize.exchange.password(function (client, username, password, scope, done) {
// Find the user in the database with the requested username or email
db.users.find({ username: username }).then(function (user) {
// If there is a match and the passwords are equal
if (user && cryptolib.compare(password, user.password)) {
// Generate a token
var token = util.generatetoken();
// Save it to whatever persistency you are using
tokens.save(token, user.id);
// Return the token
return done(null, /* No error*/
token, /* The generated token*/
null, /* The generated refresh token, none in this case */
null /* Additional properties to be merged with the token and send in the response */
);
} else {
// Call `done` callback with false to signal that authentication failed
return done(null, false);
}
}).catch(function (err) {
// Signal that there was an error processing the request
return done(err, null);
})
};
// Middlewares to export
module.exports.token = [
server.token(),
server.errorHandler()
];
稍后在您的应用程序中编写类似这样的内容
var auth = require('./authorization');
app.post('/token', auth.token);
这是您如何操作的基本示例。此外,您应该在此端点上启用某种保护。您可以将客户端凭据验证与 passport-oauth2-client-password 模块一起使用。这样,oauth2orize.exchange.password 函数中的 client 变量将包含有关尝试访问资源的客户端的信息,从而为您的授权服务器启用额外的安全检查。
关于node.js - 在 Oauth2orize 模块中使用资源所有者密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17391065/
26
4
0
有人告诉我,如果我只有一个“东西”,比如家(不是多个家),我应该在 routes.rb 中使用资源 :home,而不是资源 :home。但是当我查看路由时,POST 函数似乎想要 home#creat
Activity 开始。这些代码框架顺利通过。 // Initialize array adapters. One for already paired devices and //
资源 search-hadoop.com search-hadoop.com索引所有邮件列表,非常适合历史搜索。当你遇到问题时首先在这里搜索,因为很可能有人已经遇到了你的问题。 邮件列表 在A
我是 WPF 的新手,正在努力使用位于单独程序集中的样式。这就是我正在做的:- 我有一个带有\Themes 文件夹的类库项目,其中包含一个“generic.xaml”,它合并了\Themes 内的子文
我正在编写一个使用虚拟树状文件结构的插件。基本上它就像一个包含文件的标准文件系统,区别在于这些文件实际上并不存在于文件系统中的特定位置,而只是 java 对象。 这些当前由使用 SettingProv
如果我在 XAML 中使用以下内容,我会收到错误消息: 错
我正在使用 laravel 资源来获取 api 的数据: return [ 'id' => $this->id, 'unread' =>
我有以下 pom.xml: 4.0.0 mycompany resource-fail 0.0.1-SNAPSHOT BazBat
许多GDI +类都实现IDisposable,但是我不确定何时应该调用Dispose。对于使用new或静态方法(例如Graphics.CreateGraphics)创建的实例来说,这很明显。但是,由属
我正在构建一组 RESTful 资源,其工作方式如下:(我将使用“people”作为示例): 获取/people/{key} - 返回一个人对象 (JSON) GET/people?first_nam
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,因为
我有一个使用 $resource 的简单 Controller : var Regions = $resource('mocks/regions.json'); $scope.regions =
在 Azure 门户中,如何查看不同资源之间的依赖关系。我特别想查看哪些资源正在使用我要删除的存储。 最佳答案 您可以使用应用程序洞察应用程序 map 来执行此操作: 您还可以打开存储帐户的日志记录:
我正在使用 ionic 生成资源(图标和启动画面)。我正在使用 ionic v2.1.0 和 cordova v6.4.0。 到目前为止我一直在使用(它在以前的版本中工作): cordova plat
是否可以使用 Assets 包含子文件夹中的文件? 示例:[base_url]/assets/css/pepper-grinder/jquery-ui-1.8.11.custom.min.css 最佳
我正在阅读一些尝试教授 Android 开发的书。在书中,作者概述了 res/下的一些目录。他提到 res/menu 包含基于 XML 的菜单规范。他还提到了保存“通用文件”的 res/raw。当我创
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 年前。 Improv
我在服务器上使用 express-resource。在我的 AngularJS Controller 中: var User = $resource('/services/users/:use
因此,每当我运行我的应用程序时,它都会立即崩溃并给出以下错误: No package identifier when getting value for resource number 0x00000
对于我正在创建的(网络)应用程序,我需要使用基本身份验证在我的 UIWebView 中加载页面。 现在设置我使用的授权 header : NSString *result = [NSString st
我是一名优秀的程序员,十分优秀!