个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
TL:DR;
我的 VPC 中有一个受信任的应用程序,我想允许:
POST/oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd 允许无限制访问任何用户的数据,前提是客户端密码是 secret 的。有优先权吗?
我一直在实现面向服务的架构,我不太确定的部分之一是我们的应用程序身份验证和授权。
我们有一个主要 API 的内部应用程序,我们仅使用客户端凭据(id、 secret )和用户 id 将其列入受信任的 OAuth 白名单:
POST/oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd
本质上,这使得在没有密码且不显示授权页面的情况下为给定用户生成 oauth token 成为可能。
通过在混合中包含用户标识符,这允许使用特定于用户的 token ,并为我们提供了使单个用户的 token 无效的选项。通过这种方式,我们不必使整个应用程序失效,因此不会损害安全级别。
是否有创建可信客户端 OAuth 2.0 token 的优先级?
最佳答案
您描述的用例符合 OAuth 2.0 规范中标准化的客户端凭证授权:https://www.rfc-editor.org/rfc/rfc6749#section-4.4
用户标识符可以有效地作为 scope 值传递,允许访问该用户(资源所有者)的资源。这就是规范所称的受控资源“之前已与授权服务器安排的另一个资源所有者”。
关于authentication - 可信客户端 OAuth token 创建?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27698016/
25
4
0
我正在尝试增强确定用户是否为给定AD组成员的代码。它实际上是有效的,除非组的成员恰好来自另一个(受信任)域,因为它存储为外部安全性本金。 鉴于我对要测试的组和要检查的帐户都有一个有效的Director
更新 我有posted a script我正在使用这个到StackExchange代码审查站点。 我最初的问题是,有没有一种方法可以用X.509证书和时间戳签署Git提交?.有一段时间,我以为我只能得
我想使用 Jasmine 来确保 AngularJS 正确信任 html 数据值。 代码 下面的代码通过外部 API 获取 article 并使用 Angular 的 $sce 来信任 article
在服务器上完全卸载 python 并重新安装 python 和 python-dev 后,Python 出现故障。最明显的错误是我无法从标准库中导入一些模块。例如,我无法导入 datetime 和 e
我正在 ubuntu 14.04 中安装 cloudera 5.4。当安装向导启动并到达 java 安装部分(安装向导的第 2 部分)时,它会卡住并且窗口变为灰色。我等了很长时间但没有任何反应,所以我
我是一名优秀的程序员,十分优秀!