- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我目前正在尝试在公共(public)客户端/ native 客户端(Android 应用程序)上实现 OAuth 2.0 授权代码授予。
由于无法在设备上存储 client_secret
,我想将此授权类型与 rfc7636 / Proof Key for Code Exchange by OAuth Public Clients (PKCE). 一起使用。
我在后端使用 wso2 5.3.0 IAM。
授权步骤工作得很好,但如果没有 client_secret
,我无法获取访问 token :invalid_request,缺少参数:client_secret
我是否误解了 PKCE 错误的授权代码授予,或者我是否错过了 IAM 中的某些配置?
相比之下: auth0 是可能的.
最诚挚的问候,罗伯特
最佳答案
即使您使用授权代码流程,如果您的应用程序的客户端类型是 secret ,则 token 端点处也需要 client_secret
。 RFC 6749 中的“4.1.3. Access Token Request ”表示如下:
If the client type is confidential or the client was issued client credentials (or assigned other authentication requirements), the client MUST authenticate with the authorization server as described in Section 3.2.1.
因此,将应用程序的客户端类型更改为公共(public)。我不知道 WSO2,但我猜它提供了设置菜单来切换客户端类型,如下所示。
(Authlete网络控制台的屏幕截图)
RFC 6749 中的“2.1. Client Types”中描述了 secret 客户端和公共(public)客户端的定义。
关于没有 client_secret 的 OAuth2 授权代码 PKCE (wso2 5.3.0 IAM),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45356625/
我正在使用 Siddhi [1] 的 Java 库,并且注意到检索和处理由 Siddhi 运行时生成的事件有相当大的延迟。尽管两个Siddhi事件可能具有时间差为X秒的Siddhi事件时间戳,但是在接
我阅读了网站上提供的文档,但没有太多关于如何连接到服务器并从 java 访问其 CEP 功能的信息。例如,它接受 POJO 作为事件模型还是只是 xml?我们可以从 Java 创建事件模型和查询吗?如
我是一名优秀的程序员,十分优秀!