- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在实现一个连接到 OAuth2 服务器的应用程序,它会返回一个 Json Web token (JWT)。我正在传递 token ,并且我想独立验证 token 是否来自发行源。
我可以使用来自发行源的公钥来做到这一点,没问题。我现在可以使用它。一切正常。
但是如果 OAuth 服务器更改了签名 key 怎么办?验证应用程序如何获取新 key ?是否有从 OAuth2 服务器共享公钥的“最佳实践”约定?我们只是从身份验证服务器上的端点公开它吗?
最佳答案
没有标准化的解决方案作为 OAuth 2.0 协议(protocol)套件的一部分(今天)。
它被认为是一个单域问题,可以通过各种方式解决,这些方式被认为超出了核心 OAuth 规范的范围(很像资源服务器和授权服务器之间的 API is/was),很像任何基于 PKI 的机制在今天普遍有效。
但是 OpenID Connect 是一个建立在 OAuth 2.0 之上的跨域 SSO 协议(protocol),它还定义了一个更标准化的选项,以 JWKs URI 的形式处理 key 分发作为 Discover 的一部分,请参阅 jwks_uri
进入:
REQUIRED. URL of the OP's JSON Web Key Set [JWK] document. Thiscontains the signing key(s) the RP uses to validate signatures fromthe OP. The JWK Set MAY also contain the Server's encryption key(s),which are used by RPs to encrypt requests to the Server. When bothsigning and encryption keys are made available, a use (Key Use)parameter value is REQUIRED for all keys in the referenced JWK Set toindicate each key's intended usage. Although some algorithms allow thesame key to be used for both signatures and encryption, doing so isNOT RECOMMENDED, as it is less secure. The JWK x5c parameter MAY beused to provide X.509 representations of keys provided. When used, thebare key values MUST still be present and MUST match those in thecertificate.
jwks_uri
定义也可能是标准化 OAuth 2.0 协议(protocol)扩展的一部分,但现在您必须依赖客户端和授权服务器之间的自定义协议(protocol)才能做到这一点。不过,这可能并不难实现自己。
关于validation - 如何共享 OAuth2 JWT 验证的公钥?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30064795/
如何选择随机哈希键?对于 my Flash+Perl card game我正在尝试从哈希中随机选择一张卡片,其中的键是:“6 黑桃”、“6 俱乐部”等,如下所示: my $card; my $i =
每当我收到对端点的请求时,我都会使用openssl crate 生成随 secret 钥。我将使用新生成的 key 来加密请求数据,并将其作为响应发送回去。 use openssl::rsa::{Rs
我们知道,我们在代码中生成的“随机”数实际上是伪随机数。在Java的情况下,它们默认使用时间戳作为随机种子,并且从该点开始确定性地创建时间戳之后产生的每个随机数。 如果您使用随机数生成密码,并且恶意方
我想用java生成一个128位随 secret 钥。我正在使用以下内容: byte[] byteBucket = new byte[bytelength]; randomizer.nextBytes(
这个问题已经有答案了: Pick random property from a Javascript object (9 个回答) 已关闭 7 个月前。 如果我有以下内容: var liststuff
我做了一些研究,找不到我需要的东西,基本上我想生成一个具有以下格式的随 secret 钥 XXX-XXX-XXXX 最佳答案 这是一个快速的 Javascript 解决方案: let r = Math
在 Firebase 中,可以使用 .childByAutoId() 创建随 secret 钥 let newEntry = FBRef.child("category").childByAutoId
假设我有一个带有大量键的对象: const myObject = { "a": 1, "b": 2, "c": 3, ... } 如果我存储了一个单独的 key 列表,
我需要计算一些字符串的签名,并计划这样做: using (HMACSHA256 hmacSha256 = new HMACSHA256( )) { Byte[] dataToHmac
我的任务是生成随机的 80 字节 key ,我决定遵循以下策略 在我的电脑中sizeof(char)=1 所以我创建了一个英文字母数组 char *p=" "; char a[0..26] and i
我正在设计一个广告系统,该系统根据广告的权重(出价)在广告之间随机轮换。 local ads = local ads = { ["a"] = { views = 0,
我有一个整数列表(员工 ID)它们都是8位长(虽然几乎都是00开头,但实际上都是8位长) 我需要为每个员工生成一个 key : - 5 chars including [A-Z][a-z][0-9]
我使用 KeyPairGenerator 生成 RSA key 对,我注意到它始终生成完全匹配的 key ,而不是应有的随 secret 钥?也许有人知道为什么会这样? 我的代码现在看起来像这样: p
我正在运行一个 FIRESTORE 数据库,我想创建一个具有与 firestore 相同的模式 的随 secret 钥。 在链接中,我找到了创建文档后调用的函数with: 'db.ref.add()'
这个问题已经有答案了: Add a property to a JavaScript object using a variable as the name? (14 个回答) Creating ob
我想生成 1M 随机(出现)唯一字母数字键并将它们存储在数据库中。每个 key 的长度为 8 个字符,并且仅使用子集“abcdefghijk n pqrstuvxyz 和 0-9”。 字母 l、m、o
我想生成像“7HzdUakp”这样的唯一 key 。 我想将其放入数据库(mysql)中,但我想要几乎无限的组合。 我可以使用随机函数生成它,但有时它可以生成相同的 key 两次 已解决 - 我根据“
我有一个我似乎无法弄清楚的基本问题。我正在尝试在 AES-256-CBC 中生成一个可用于加密/解密数据的随 secret 钥。 这是我正在做的: require 'openssl' cipher =
如果您对 Azure 网站使用自动缩放,是否需要设置计算 secret 钥,以便可以在计算机之间共享加密的身份验证 token ? 这里有一个问题,似乎be the same正如我所问的那样。然而,这
我想根据创建日期和时间从 Firebase 中检索数据我还没有找到任何其他方法,而不是通过使用 orderByChild("Create") 创建每个用户的 child 来保存创建日期和时间排序,但是
我是一名优秀的程序员,十分优秀!