个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在阅读 OAuth2 规范:
https://www.rfc-editor.org/rfc/rfc6749#section-4.4.2
特别是关于 client_credentials 的部分授予类型。
If the access token request is valid and authorized, the
authorization server issues an access token as described in Section5.1.
A refresh token SHOULD NOT be included. If the request failed client authentication or is invalid, the authorization serverreturns an error response as described in Section 5.2.
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"example_parameter":"example_value"
}
password 的 refresh_tokens授予类型,但不适用于
client_credentials .
最佳答案
理解这一点的关键部分是 refresh概念不是为您设计来刷新您已经拥有的任何访问 token 。
“刷新 token ”只是一种跳过最终用户干预并仍然重新获得新访问 token 的方法,如果您的应用程序使用最终用户用户名/密码身份验证,即代表特定最终用户行事。 (如果我是设计师,我可能会将“刷新 token ”命名为“绕过用户干预 token ”,因此不需要问当前问题。)
但是,如果您的应用程序使用客户端凭据进行身份验证,则它代表自己进行操作,您根本不需要用户干预,服务器也不需要(也不会)给您刷新 token .
关于security - 为什么响应 "client_credentials"授权的 OAuth2 服务器不提供 refresh_token?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29233772/
25
4
0
我正在与一个显然需要 OAuth 身份验证的自定义 APEX 服务进行交互。我可以轻松地对我的应用程序进行身份验证和授权。一切正常。 但是,我收到的访问 token 往往会过期。 当然,我可以通过发送
我有一个使用 oauth2 连接到第三方应用程序的 C# 应用程序。首先,用户被重定向到一个外部应用程序 (ERP),他在其中输入用户名和密码,并生成一个有效期为 1 小时的访问 token 和一个有
我对 refresh_token 有疑问。我完全不明白。我读到我只在登录后第一次获得此 token ,之后不会返回 refresh_token。第一种方法是初始化 gapi: initGp: func
我有一个有两条路由的小型 express 服务器。然后它将 json token 写入文件(我知道非常不安全)。由于某种原因,没有 refresh_token。在文档中有一条评论说 offline f
我将 google API 用于个人项目,因此我的应用没有通过 google 验证。 我完全使用 this我自己的代码示例和登录时生成的 token.json 文件。一切正常,每次我发出请求(每 10
背景 我使用 google-api-python-client django_sample 获得了 Google API 的 access_token . 为了离线访问,我添加了 FLOW.param
我写了一个关于使用 google api 的例子。 Google NodeJS Client library .我遵循了指令集 access_type : 'offline',但是返回的对象不包含 r
我在 IdentityServer 4 中使用 .net 核心。我有一个 Web api 和一个访问 api 上的安全端点的 MVC 应用程序。它的设置与 IdentityServer 快速入门非常相
我正在阅读 OAuth2 规范: https://www.rfc-editor.org/rfc/rfc6749#section-4.4.2 特别是关于 client_credentials 的部分授予
我在Grails 3应用程序中使用Spring Security Rest发出“refresh_token”请求时遇到了一些麻烦。我有一个同时具有Web前端和一些Rest端点的应用程序,其他所有东西似
我正在使用的项目:来自 nuget 的 ImgurNet(来源:https://github.com/0xdeafcafe/ImgurNet) 它似乎需要所有这些参数: { "client_i
我对 refresh_token 流程(http://wiki.developerforce.com/page/Digging_Deeper_into_OAuth_2.0_on_Force.com)的
您好,我是计算机科学专业的学生,正在 oauth.io 上做一些实验。但我在成功获取代码后获取刷新 token 时遇到问题。获取代码后,我正在编写以下代码行,但它给了我内部服务器错误.. 代码是
我正在使用 omniauth-coinbase和 coinbase-ruby在我的 Rails 应用程序中。 在我的应用程序中,用户通过 Coinbase 登录,Coinbase 生成一个 code,
所以我通过这种方式获得了一个刷新 token ,我可以保留它吗? 如果可以,下次要怎么用才能不用开浏览器? 现在我正在考虑直接创建 OAuth2Credentials 对象,这是正确的方法吗? fro
我将 HWIO Bundle 用于 google api,当我收到来自 google refreshToken = null 的响应时,为什么?如何刷新 token oAuthToken = {HWI
如果用户的 access_token 过期并且用户想保持登录状态,我需要让用户在系统中保持登录状态。如何在 Keycloak 上使用 refresh_token 获取新更新的 access_token
我的 axios 响应中有以下拦截器: window.axios.interceptors.response.use( response => { return response; }
我正在使用 FLask Framework 构建网站 + 后端我在其中使用 Flask-OAuthlib与谷歌进行身份验证。身份验证后,后端需要定期扫描用户的 Gmail。因此,当前用户可以验证我的应
根据 https://groups.google.com/forum/#!forum/oauth2-dev讨论现在在这里。 无论我读了多少书,我都无法理解 google OAuth2 token 的工
我是一名优秀的程序员,十分优秀!