oauth-2.0 - OpenID Connect 和服务器端授权代码流程-6ren

oauth-2.0 - OpenID Connect 和服务器端授权代码流程

转载作者：行者123 更新时间：2023-12-02 22:32:09

25

4

我有几个问题。

授权代码流程和随机数

使用授权码流程时，是否需要在客户端验证随机数？在一般的 OAuth Provider 实现中，从授权代码获取访问 token 的过程仅进行一次。由此看来，Authorization Code Flow已经支持不使用nonce的重放攻击了？

授权代码流程和 ID token

在 Web 应用程序中使用授权代码流有哪些好处？ID Token是一种身份验证机制，而不是授权机制，我理解它用于验证哪个OpenID Provider正在为哪个中继方验证哪个用户。

但是在授权代码流程中，

OAuth 2.0 需要使用 HTTPS。由此看来，如果正确实现了SSL证书验证，那么这将是一个有效的OpenID Provider的证明。
在一般的 OAuth Provider 实现中，当从授权代码获取访问 token 时，将在下面验证授权代码、客户端 ID 和 key 的组合。由此，将证明正在从正确的 OAuth 客户端执行访问 token 获取过程。
通过指定state参数创建授权请求，并在获取访问 token 时对其进行验证，将证明正在从正确的用户处获取访问 token 。

最佳答案

我不是 OpenID Connect 的权威，但这是我的两分钱......

Authorization Code Flow and nonce

Do I need to verify the nonce on the client side when using Authorization Code Flow?

规范规定，如果您在授权请求中发送随机数，则必须验证它(请参阅 http://openid.net/specs/openid-connect-core-1_0.html#IDToken 中的“随机数”)。但是，授权代码流程不需要发送随机数，因此您可以完全忽略它。在授权代码流的情况下，我认为你是对的，代码减轻了重放攻击——使得随机数变得不必要。然而，由于可以使用需要随机数的隐式/混合流程，因此 id_token 验证逻辑也可能是相同的，因为“如果在身份验证请求中发送了随机数值，则必须存在随机数声明及其检查值”

Authorization Code Flow and ID Token

What are the benefits of using Authorization Code Flow in web applications?

我认为授权代码流的好处是您可以将 token 保留在浏览器之外，并且可以仅将 token 保留在服务器端。

这是a helpful link about choosing the right flow for the right scenario

关于oauth-2.0 - OpenID Connect 和服务器端授权代码流程，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/40690250/

25

4

0

文章推荐： sql-server - 调用 CLR 函数时出现 SecurityException 错误

文章推荐： sql - 如何动态排序 2 个 SQL 字段的 asc 和 desc

文章推荐： angularjs - 在 uiRouter 中从子状态更改父 Controller 属性

r - summary.connection(connection) : invalid connection 中的错误
使用 caret::train() 运行逻辑回归模型时出现问题。LR = caret::train(Satisfaction ~., data= log_train, method = "glm",
docker nginx代理nginx connect()失败(111 : Connection refused) while connecting to upstream
我正在尝试将nginx容器作为我所有网站和Web服务的主要入口点。我设法将portainer作为容器运行，并且可以从互联网上访问它。现在，我正在尝试访问由另一个Nginx容器托管的静态网站，但这样做失
c# - TcpClient.Connect 说 "A connection attempt failed because the connected party..."
我有一个在 Windows XP SP3 x86 上运行的 Visual Studio 2008 C# .NET 3.5 应用程序。在我的应用程序中，我有一个事件处理程序 OnSendTask 可以同
java.net.ConnectException : Connection refused: connect for HTTPS connections 异常
我在 Eclipse 中创建了作为独立程序执行的此类，它可以毫无问题地连接所有 http URL(例如:http://stackoverflow.com)，但是当我尝试连接到 https(例如 htt
python - Bottle + nginx : connect() failed (111: Connection refused) while connecting to upstream
我在我的 nginx 错误日志中收到大量以下错误: connect() failed (111: Connection refused) while connecting to upstream 我的
java - Log4j2 套接字附加器 "connect java.net.ConnectException: Connection refused: connect"
我正在尝试将新的 log4j2 与 Socket Appender 一起使用，但我有点不走运。这是我的 XML 配置文件:
java.net.ConnectException : Connection timed out: connect error connecting to remote database
我目前正在尝试寻找 Android 应用程序后端的替代方案。目前，我使用 php servlet 来查询 Mysql 数据库。数据库(Mysql)托管在我大学的计算机上，因此我无法更改任何配置，因为我
connection - sqlalchemy中MapperExtension的 `connection`参数是什么？
类MapperExtension有一些方法，before_insert, before_update, ...都有一个参数connection. def before_insert(self, map
connection - IBM Connection 更改文档所有者
嗨，我正在尝试更改位于连接库 (v 5.5) 中的文档的文档所有者，我仍在等待 IBM 的回复，但对我来说可能需要太长时间，这就是我尝试的原因逆向工程。我尝试使用标准编辑器 POST 请求将编辑器更
nginx - uWSGI nginx 错误 : connect() failed (111: Connection refused) while connecting to upstream
我在 nginx( http://52.xx.xx.xx/ )上访问我的 IP 时遇到 502 网关错误，日志只是这样说: 2015/09/18 13:03:37 [error] 32636#0: *
image-processing - 4-connected vs 8-connected in Connected Component Labeling。一个相对于另一个的优点是什么？
我要实现 Connected-Component Labeling但我不确定我应该以 4-connected 还是 8-connected 的方式来做。我已经阅读了大约 3 种 Material ，但
python - jython脚本: How to modify the maximum connection of connection pool under Websphere MQ Connection factories
我在Resources ->JMS ->Connection Factories下有两个连接工厂。 1) 连接工厂 2)集成连接工厂我想修改两个连接工厂下连接池的最大连接数。资源 ->JMS ->连
python - mongoengine.connection.ConnectionError : Cannot connect to database default : [Errno 111] Connection refused
我在将 mongoengine 合并到我的 django 应用程序时遇到问题。以下是我收到的错误: Traceback (most recent call last): File "/home/d
macos - 异常 : connect: does not exist (Connection refused) when trying to connect to TCP socket in Haskell
上下文我正在关注 tutorial on writing a TCP server last week in Real World Haskell .一切顺利，我的最终版本可以正常工作，并且能够在
django - Nginx+Gunicorn+Django1.5 - connect() 失败 (111 : Connection refused) while connecting to upstream
我在访问我的域时遇到了这个问题:我看到了我的默认 http500 错误 django 模板正在显示。我有 gunicorn 设置: command = '/usr/local/bin/gunicor
java - org.dom4j.DocumentException : Connection timed out: connect and Nested exception: Connection Nested exception
我更换了电脑，并重新安装了所有版本:tomcat 8 和 6、netbeans 8、jdk 1.7、hibernate 4.3.4，但是当我运行 Web 应用程序时，出现此错误。过去使用我的旧电脑时，
django - cookie-cutter django nginx connect() 失败 (111 : Connection refused) while connecting to upstream,
您好，我是这个项目的新手，我在 CentOS7 ec2 实例上托管它时遇到问题。当我访问我的域时出现此错误: 2017/02/17 05:53:35 [error] 27#27: *20 connec
node.js - nginx 和 Node : connect() failed (111: Connection refused) while connecting to upstream
在开始之前，我已经查看了所有我能找到的类似问题，但没有找到解决我的问题的方法。我正在运行 2 个 docker 容器，1 个用于 nginx，1 个用于 nodejs api。我正在使用 nginx
ubuntu - initctl : Unable to connect to Upstart: Failed to connect to socket/com/ubuntu/upstart: Connection refused
使用 debian 包将 kaa -iot 平台配置为单节点时。我收到以下错误。 himanshu@himpc:~/kaa/deb$ sudo dpkg -i kaa-node-0.10.0.deb
app-store-connect - 无法登录 iTunes Connect : "Your Apple ID isn' t enabled for iTunes Connect"
我是我公司开发团队的成员，担任管理员角色。我可以通过 https://developer.apple.com/ 访问团队的成员(member)中心但是，当我尝试在 https://itunescon

首页

博学

6Ren·AI

商城