- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
RFC6749和 RFC6750关于 OAuth2 访问 token 中允许使用哪些字符,似乎彼此不同意。
Section A.12 RFC6749(原始 OAuth2 规范)定义访问 token 格式如下:
A.12. "access_token" Syntax
The "access_token" element is defined in Sections 4.2.2 and 5.1:
access-token = 1*VSCHAR
VSCHAR = %x20-7E
The syntax for Bearer credentials is as follows:
b64token = 1*( ALPHA / DIGIT /
"-" / "." / "_" / "~" / "+" / "/" ) *"="
credentials = "Bearer" 1*SP b64token
=
用于填充。
最佳答案
TL;DR: 标准之间没有冲突。 OAuth 访问 token 通常可以包含任何可打印的 ASCII 字符,但如果访问 token 是不记名 token ,则它必须使用“token64”语法才能符合 HTTP/1.1。
RFC 6749, §1.4告诉我们:“访问 token 是一个字符串”和“通常对客户端不透明”。 §A.12将其定义为一个或多个可打印的 ASCII 字符([ -~]+
在正则表达式中)。
RFC 6749 定义了获取访问 token 的各种方法,但并不关心如何实际使用访问 token ,只是说您将它“呈现”给资源服务器,资源服务器必须验证然后接受或拒绝它。
但是 RFC 6749 确实要求授权服务器告诉客户端 token 类型(另一个字符串),客户端可以使用它来确定访问 token 的使用方式。
token 类型字符串要么是 IANA 注册的类型名称(如 Bearer
或 mac
),要么是供应商 URL(如 http://oauth.example.org/v1
),尽管 URL 只是一个方便命名的标识符,并且不必解决任何事情。
在大多数部署中, token 类型将为 Bearer
,其语义在 RFC 6750 中定义。
RFC 6750 定义了向资源服务器提供承载访问 token 的三种方法(第 2.1–2.3 节)。推荐的方法(资源服务器必须支持以符合标准)是在 HTTP 授权 header (§2.1)中发送它,在这种情况下, token 必须是“b64token”(正则表达式中的 [-a-zA-Z0-9._~+/]+=*
)。
这与 HTTP/1.1 规范所称的“token68”(RFC 7235 §2.1)相匹配,并且对于允许在 HTTP 授权 header 中不加引号地使用 token 是必要的。 (至于为什么 HTTP/1.1 允许这些确切的字符,它归结为与 HTTP/1.0 和基本身份验证标准相关的历史原因,以及当前和历史 HTTP 实现的限制。网络协议(protocol)是一项困惑的业务。)
“b64token”(又名“token68”)允许通常与 base64 编码一起使用的 ASCII 字符子集,但(尽管名称)不记名 token does not impose any base64 semantics .它只是客户端从一台服务器接收并传递给另一台服务器的不透明字符串。实现可能会为其分配语义(例如 JWT ),但这超出了 OAuth 或 Bearer token 标准。
RFC 6750 没有说明如果与其他两种(不推荐的)方法一起使用,Bearer 访问 token 必须是 b64token,但鉴于客户端应该能够选择该方法,因此给它是一个非 b64token token 。
其他 OAuth token 类型可能不依赖于在 HTTP header 中不加引号地传递(或者它们可能根本不使用 HTTP),因此可以自由使用任何可打印的 ASCII 字符。这可能例如对于对客户端不透明的 token 类型很有用;例如,我目前正在处理访问 token 响应看起来有点像这样的设置:
{
"access_token": "{\"endpoint\": \"srv8.example.org\", \"session_id\": \"fafc2fd\"}",
"token_type": "http://vendor.example.org/",
"expires_in": 3600,
"refresh_token": "tGzv3JOkF0XG5Qx2TlKWIA"
}
在这里,访问 token 是一个 JSON 编码的数据结构,客户端必须对其进行操作(根据与供应商 token 类型相关的规则)才能访问 protected 资源。
关于oauth-2.0 - OAuth2 访问 token 中允许使用哪些字符?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50031993/
我有一个 ASP.NET 网站,我希望只允许 AD 组中的用户访问该网站。我正在使用如下的 web.config 片段,但这似乎不起作用:
仅当选中所有框时才应禁用“允许”按钮。我该怎么做?我已经完成了 HTML 部分,如下所示。如何执行其中的逻辑部分?即使未选中一个复选框,也应禁用“允许”按钮
当前有一个Navigator.push(context,route),但是上下文部分返回了错误,在尝试调试后,我发现问题是因为我在调用一个函数而不是直接将home设置为widget树。但是现在我不确定
这是我的邮政编码正则表达式 ^[a-zA-Z0-9]{1,9}$ 但不允许 A-12345。如何更改 - 也将被允许的正则表达式? 最佳答案 在字符集的开头或结尾添加-([...]): ^[-a-zA
我目前正在建立我的网站,但遇到了一个问题 JavaScript 中的混合内容阻止 当我尝试加载和显示来自 的图像和页面时,Chrome、Mozilla 和 Explorer 会发生这种情况http 我
我见过使用: [mysqld] bind-address = 255.112.324.12 允许远程访问单个 IP。我如何允许从 mysql 远程访问所有 IP? 最佳答案 如果你想允许它用于所
我想知道是否可以使用模板实现某些功能。我想要做的是允许特定的“复制构造函数和赋值运算符”从一个模板到另一个模板并禁用其他模板。 我想我只完成了一件我想要的事情,所以我提供了下面的类(class)。对于
这个问题在这里已经有了答案: How to validate an email address in PHP (15 个答案) 关闭 2 年前。 正则表达式让我大吃一惊。我如何更改此设置以验证带有加
解析可以采用以下格式之一的日期的最佳方法是什么 "dd-MM-yyyy HH:mm" "dd/MM/yyyy HH:mm" "dd.MM.yyyy HH:mm" 无需创建 3 个 SimpleD
我们知道,下面的代码格式不正确,因为成员 x 在依赖的基类中。但是,将指定行上的 x 更改为 this->x 将修复错误。 template struct B { int x; }; tem
如果能帮助我理解“Java 并发实践”中的以下内容,我将不胜感激: Calling an overrideable instance method(one that is neither privat
此时如果上传一个不在预定义的安全扩展名列表,如.lrc,会报错: File type does not meet security guidelines. Try another. 解决此问题有
我有一个运行韵律,可以为我的几个域和一个 friend 域处理 XMPP。我 friend 域中的一位用户(他的妻子)想更改她的密码(实际上她忘记了她,所以我会用 prosodyctl 设置一个,然后
使用 nginx,您可以允许和拒绝范围和 ips (https://www.nginx.com/resources/admin-guide/restricting-access/)。使用realip模
什么是一些好的克里金法/插值想法/选项,可以让重度权重的点在绘制的 R map 上的轻权重点上流血? 康涅狄格州有八个县。我找到了质心并想绘制这八个县中每个县的贫困率。其中三个县人口稠密(约 100
我正在使用 virtualbox + ubuntu + vagrant . 但是我不能ping或 wget任何网址。请指导我如何允许虚拟机访问我的主机的互联网? 最佳答案 这对我有用。 使用此配置 V
标题可能有点令人困惑,所以让我向您解释一下。 在 Swift 中,我们可以拥有带有默认参数值的函数,例如: func foo(value: Int = 32) { } 我们也可以有 In-Out 参数
有TextView1 和TextView2。 TextView2 应该 float 在 TextView1 的右侧。只要两个 TextView 的总宽度不使 TextView2 与右侧的框重叠,Tex
使用 Magento 收集方法 addFieldToFilter 时是否可以允许按 NULL 值进行过滤?我想选择集合中具有自定义属性的所有产品,即使没有为该属性分配任何值。 最佳答案 您不需要使用
我正试图从 .htaccess 文件中的规则中“排除”一个目录(及其所有文件夹)... 不确定这是否可能? .htaccess 文件是这样的: Order Allow,Deny Deny from a
我是一名优秀的程序员,十分优秀!