- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
app.com
已将身份验证委托(delegate)给 openid-connect.provider.com
,这意味着未经身份验证的用户将被重定向到外部提供商进行登录,如果他们没有一个有效的 session 。一旦发生这种情况,他们就会在 app.com
上获得一个持续一段时间的 session cookie。
虽然用户流程很好,但我想知道如何处理 API 请求?规范说,如果您返回 HTTP 401 UNAUTHORIZED
,它需要伴随一个 WWW-Authenticate
header ,向客户端提供身份验证方案。
那么 app.com
在出现 401 时应该返回什么?
我看到 bits and pieces indicating OAuth
,但我想这与登录的外部提供商有关,而不是应用程序本身 (app.com
)?
例子:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example",
error="invalid_token",
error_description="The access token expired"
上面的内容似乎不对,因为 app.com
服务器不使用任何 oauth 意义上的访问 token ,只是本地 session 的普通 session cookie。
最佳答案
当 session cookie 过期时重定向到 OIDC 登录是 UI 前端应用程序广泛使用的做法。关于此处使用的 cookie,我认为它与 OIDC 流获得的访问 token 相关(例如:- cookie 生命周期匹配访问 token 生命周期)。
关于 API 访问,我相信上述 API 使用通过 RFC6750 定义的不记名 token 用法.此 RFC 定义如何在后续 protected API 调用中使用 token 。其中一个重要部分是 The WWW-Authenticate Response Header Field 部分定义 token 无效或过期时要执行的操作。您找到的答案和您在问题中提到的示例与 RFC 建议的解释相关。
我认为问题归结为您如何针对您的 API 进行身份验证。如果您的 API 遵循不记名 token 的使用,则遵循您的示例。将 HTTP 状态代码与 WWW-Authenticate 一起使用。这将带来规范合规性。
但是如果有自定义身份验证机制(例如:- cookie),那么它就超出了规范的范围。但是您可以获得来自 API 的 JSON 响应,其中包含错误详细信息(例如:- Http 代码、原因、描述和用于调试的相关 ID)。我会说 WWW-Authenticate header 在这种情况下是可选的。
关于http - 当 session 在 OpenID Connect 设置中过期时,WWW-Authenticate 应该包含什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57677462/
我正在尝试在Elasticsearch中返回的值中考虑地理位置的接近性。我希望近距离比某些字段(例如legal_name)重要,但比其他字段重要。 从文档看来,当前的方法是使用distance_fea
我是Elasticsearch的初学者,今天在进行“多与或”查询时遇到问题。 我有一个SQL查询,需要在Elastic中进行转换: WHERE host_id = 999 AND psh_pid =
智能指针应该/可以在函数中通过引用传递吗? 即: void foo(const std::weak_ptr& x) 最佳答案 当然你可以通过const&传递一个智能指针。 这样做也是有原因的: 如果接
我想执行与以下MYSQL查询等效的查询 SELECT http_user, http_req_method, dst dst_port count(*) as total FROM my_table
我用这两个查询进行测试 用must查询 { "size": 200, "from": 0, "query": { "bool": { "must": [ { "mat
我仍在研究 Pro Android 2 的简短服务示例(第 304 页)同样,服务示例由两个类组成:如下所示的 BackgroundService.java 和如下所示的 MainActivity.j
给定标记 like this : header really_wide_table..........................................
根据 shouldJS 上的文档网站我应该能够做到这一点: ''.should.be.empty(); ChaiJS网站没有使用 should 语法的示例,但它列出了 expect 并且上面的示例似乎
我在 Stack Overflow 上读到一些 C 函数是“过时的”或“应该避免”。你能给我一些这种功能的例子以及原因吗? 这些功能有哪些替代方案? 我们可以安全地使用它们 - 有什么好的做法吗? 最
在 C++11 中,可变参数模板允许使用任意数量的参数和省略号运算符 ... 调用函数。允许该可变参数函数对每个参数做一些事情,即使每个参数的事情不是一样的: template void dummy(
我在我从事的项目之一上将Shoulda与Test::Unit结合使用。我遇到的问题是我最近更改了此设置: class MyModel :update end 以前,我的(通过)测试看起来像这样: c
我该如何做 or使用 chai.should 进行测试? 例如就像是 total.should.equal(4).or.equal(5) 或者 total.should.equal.any(4,5)
如果您要将存储库 B 中的更改 merge 到存储库 A 中,是否应该 merge .hgtags 中的更改? 存储库 B 可能具有 A 中没有的标签 1.01、1.02、1.03。为什么要将这些 m
我正在尝试执行X AND(y OR z)的查询 我需要获得该代理为上市代理或卖方的所有已售属性(property)。 我只用 bool(boolean) 值就可以得到9324个结果。当我添加 bool
我要离开 this教程,尝试使用 Mocha、Supertest 和 Should.js 进行测试。 我有以下基本测试来通过 PUT 创建用户接受 header 中数据的端点。 describe('U
我正在尝试为 Web 应用程序编写一些 UI 测试,但有一些复杂的问题希望您能帮助我解决。 首先,该应用程序有两种模式。其中一种模式是“训练”,另一种是“现场”。在实时模式下,数据直接从我们的数据库中
我有一个规范: require 'spec_helper' # hmm... I need to include it here because if I include it inside desc
我正在尝试用这个测试我在 Rails 中的更新操作: context "on PUT to :update" do setup do @countdown = Factory(:count
我还没有找到合适的答案: onclick="..." 中是否应该转义 &(& 符号)? (或者就此而言,在每个 HTML 属性中?) 我已经尝试在 jsFiddle 和 W3C 的验证器上运行转义和非
import java.applet.*; import java.awt.*; import java.awt.event.*; public class Main extends Applet i
我是一名优秀的程序员,十分优秀!