个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
好的,
因此,我向 Microsoft Graph API 提出请求,该 API 用于在 One Drive 上创建文件夹。一般来说,我的所有请求都有标题:
"Authorization": "Bearer <token>"
指定我正在使用 Bearer 类型的 token 请求访问。
然而,有一个请求似乎漏网了。
该请求具有以下结构:
{
Method: POST,
RequestUri: 'https://graph.microsoft.com/beta/<tenantid>/groups/<groupid>/drive/items/<folderid>/children/',
Version: 1.1,
Content: System.Net.Http.StringContent,
Headers: {
Authorization: <token>
Content-Type: application/json;charset=utf-8
}
}
如您所见,授权 header 中缺少“Bearer”关键字。
奇怪的是,这个请求成功了,而且图表不需要关键字。
我的问题本质上是这样的:
为什么该请求会成功?这次成功是否凸显了任何安全考虑或疏忽?
谢谢
最佳答案
感谢各位的反馈!请注意,如果未提供类型,则 Microsoft Graph beta 和 v1.0 API 版本默认为不记名 token 类型。此方法不存在安全风险,因为它是截至 2016 年 4 月唯一受支持的 token 类型。我们的文档指出,最佳实践是显式提供 token 类型。
请注意,虽然 RFC 要求服务器必须支持承载,但没有说明在没有承载的情况下接受 token 。
我们将考虑在下一个 API 版本中解决这个问题。
关于security - 尽管缺少 'Bearer',请求仍然成功,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36574800/
25
4
0
我只是更改为 java 配置,但我的其余服务无法识别“Authorization:Bearer”,并且我总是收到 401 我的尝试: 添加@EnableResourceServer注释,其余API工作
我正在开发一个连接到 java(spring 框架)后端的 angular webapp。身份验证是通过 keycloak 服务器完成的。 在我的带有嵌入式 tomcat 服务器的本地机器上,angu
我正在尝试使用 Postman 测试一些端点。 所有端点,都需要一个可以通过登录获得的 token 。 所以我这样做了: 请求 #1 登录成功后,我可以从响应中访问 token ,然后将该 token
好的, 因此,我向 Microsoft Graph API 提出请求,该 API 用于在 One Drive 上创建文件夹。一般来说,我的所有请求都有标题: "Authorization": "Bea
我正在尝试部署一个使用 keycloak 保护的非常简单的 REST 服务,但出现以下错误: Caused by: org.keycloak.authorization.client.util.Htt
我正在尝试实现 OWIN 不记名 token 授权,并基于 this article .但是,我不知道如何实现不记名 token 中的一条额外信息。 在我的应用程序中,我需要从不记名 token 用户
我在 PHP 中制作授权系统,我遇到了传递 JWT token 的 Bearer 方案,我阅读了 [RFC 6750][1]。我有以下疑问: 这如何提高安全性? 在成功授权和登录后,服务器在其正文中使
您好,我正在尝试使用承载身份验证设置信号器。当我调试 Requesttoken 方法时,不记名 token 已成功接收。但是,当我的信号器客户端使用不记名 token 调用 protected (授权
我目前正在处理一组在两个独立但等效的环境(称为 ENV1 和 ENV2)上运行的应用程序。我一直在使用 OAuth 2.0 进行授权,当我从 OAuth 服务请求访问 token 后收到响应时(我通过
我想知道,加密和解密 OAuth2 中使用的 Bearer token 和 Asp.Net Identity 中的代码的内部过程是什么。 一旦服务器接收到一个 token ,它就能够检索 UserId
我正在尝试配置我的 Jwt Bearer 颁发者 key ,但通常在生产中,我使用由 KeyManager 包装的 Azure Key Vault .KeyManager类在依赖注入(inject)中
我在 Azure AD 中注册了一个应用程序。 如果我在 Web API 级别和客户端(SPA 应用程序)级别使用相同的应用程序 ID,为什么两个 Azure AD 身份验证库都这样做 (ADAL J
根据Nexus 3.x docx,“您还需要启用 Realm 中通常概述的Docker Bearer token Realm 。默认情况下,此 Realm 处于非 Activity 状态” 有人知道如
我在 Azure AD 中注册了一个应用程序。 如果我在 Web API 级别和客户端(SPA 应用程序)级别使用相同的应用程序 ID,为什么两个 Azure AD 身份验证库都这样做 (ADAL J
测试时IdentityServer4与 AspNetAuthorization 教程我添加了一个简单的 [Authorize(Roles = "Administrator")] 然后我得到了这个错误:
我正在使用 hapi-auth-bearer-token 插件通过 hapijs 进行 api 身份验证。 这是我的代码: apiServer.register(require('hapi-auth-
我想获取用于 OAuth 目的的 Authorization Bearer header ,但阅读文档看起来有点困惑 use nickel::{Nickel, JsonBody, HttpRouter
我试图将 swagger 与 flask 一起用作 docs api 我现在遇到的问题是,当发送请求时使用 This header Authorization: Bearer 我收到这个错误: {
This nice tutorial很好地介绍了 Android 上的帐户身份验证,并通过使用 Android 的 AccountManager 来实现。 . 但是,我需要使用不记名 token 为
我在 REST api 中使用 JWT Bearer 身份验证方案。为了在身份验证成功后将 jwt token 返回给客户端,目前我正在正文中使用访问 token 响应,如 https://www.r
我是一名优秀的程序员,十分优秀!