- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在构建 2 个应用程序;一个前端,一个后端。
后端将使用 Rails API + Doorkeeper Gem(oauth2 提供程序)构建,而前端将使用 React Native 构建。
目前,我正在使用“客户端凭据授予流程”,它目前工作正常。但是经过一段时间的研究,这个流程不应该在客户端应用程序中使用,因为它暴露了 client_secret
如果有人反编译该应用程序。
我还阅读了“隐式授权流”,它只需要 client_id
.但是这个流程现在看起来有点老了?
根据这个:https://auth0.com/docs/api-auth/which-oauth-flow-to-use#is-the-client-a-single-page-app-
建议使用“带有 PKCE 的授权代码授予”而不是“隐式授予流程”。我能够让它工作,但问题是它仍然需要 client_secret
为了得到一个 access_token
,这是应该的吗?
这是我正在做的示例流程:
curl -X POST 'http://localhost:3000/oauth/authorize?client_id=xxxx&redirect_uri=urn:ietf:wg:oauth:2.0:oob&response_type=code&scope=public&code_challenge=testchallenge&code_challenge_method=plain'
这会给我以下回复:
{
"status": "redirect",
"redirect_uri": {
"action": "show",
"code": "8quZ-EAiKKG2EKnQiSYs3xeFRCgsIwcTbaWNdjnpyFg"
}
}
然后我将使用上面的代码使用以下请求获取访问 token :
curl -i http://localhost:3000/oauth/token \
-F grant_type="authorization_code" \
-F client_id="xxxx" \
-F client_secret="xxxx" \
-F code="8quZ-EAiKKG2EKnQiSYs3xeFRCgsIwcTbaWNdjnpyFg" \
-F redirect_uri="urn:ietf:wg:oauth:2.0:oob" \
-F code_verifier="testchallenge"
现在问题来了,为了交换
code
到
access_token
我仍然需要
client_secret
.如果两者都只公开我的
client_secret
,它与“客户端凭据授予流程”有何不同? ?
{
"access_token": "nQoorBqLxQH4qFpmlx3mGG6Cd_TfX4d3L3gAGOTwrFs",
"token_type": "Bearer",
"expires_in": 7200,
"scope": "public",
"created_at": 1595517643
}
如果我不包括
client_secret
这里的请求是响应:
{
"error": "invalid_client",
"error_description": "Client authentication failed due to unknown client, no client authentication included, or unsupported authentication method."
}
所以这里是我的问题:
client_secret
获取 access_token
在 PKCE 流程上? client_secret
,为什么建议使用“PKCE Flow” ? client_secret
的“Client Credentials Grant Flow”有何不同? ? 最佳答案
带有 PKCE 的授权代码流是为 的设置而发明的。客户端无法安全地保护 secret .因此,当将授权代码流与 PKCE 一起使用时,您 不需要一个 secret 或更确切地说是客户的 secret 是没有意义的。
您所遇到的似乎是 门卫漏洞 (见 https://github.com/doorkeeper-gem/doorkeeper/issues/1089)。所以恐怕在他们修复它之前,您将不得不使用一些虚拟的客户端 secret 。
但是,只要 Doorkeeper 正确实现了 PKCE 流程的其余部分,这应该不是问题,因为此流程不依赖于任何静态客户端 secret ,而是使用您已经指出的动态创建的代码验证程序。
我不确定我是否正确理解您正在使用哪种客户端来处理登录。如果它是 SPA 或移动应用程序,您应该使用带有 PKCE 的授权代码流,但如果您正在实现一个“经典”的 Web 应用程序,其中登录在某些后端服务中处理,您应该使用客户端 key 使用正常的授权代码流作为可以信任后端来保护 secret 。
顺便说一下,我刚刚检查了我正在处理的一个项目中的代码,我在其中构建了一些 Angular SPA,它通过 Auth0 作为身份提供者进行身份验证。我在那里使用带有 PKCE 的授权代码流,我绝对不会向 Auth0 发送任何客户端 secret ,因为显然该流是按预期实现的。所以这真的必须是 Doorkeeper 的问题。
另一件事:我不知道您提供的请求是否只是示例,但不是使用普通方法将代码验证器转换为代码挑战,我宁愿使用安全方法,例如 S256,而不是 RFC 中推荐的你在你的问题中提到了。
关于oauth - 我们真的需要 client_secret 来获取 PKCE 流程上的 access_token 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63057801/
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,因为
首先是一些背景;我们正在开发一个数据仓库,并对我们的 ETL 过程使用哪些工具进行一些研究。该团队非常以开发人员为中心,每个人都熟悉 C#。到目前为止,我已经看过 RhinoETL、Pentaho (
我需要具有管理员权限的进程。从this问题和答案来看,似乎没有比启动单独进程更好的方法了。因为我宁愿有一个专用于该过程的过程,而不是仅为此方法在第二个过程中启动我的原始应用程序–我以为我会在VS201
我有这个函数来压平对象 export function flattenObject(object: Object, prefix: string = "") { return Object.key
我正在开发一个基于java的Web应用程序,它要求我使用来自SIP( session 启动协议(protocol))消息的输入生成序列图。我必须表示不同电话和相应服务器之间的调用流程。我可以利用任何工
这是我的代码: Process p=Runtime.getRuntime().exec("something command"); String s; JFrame frame = new JFram
我对 istio 的 mTLS 流程有点困惑。在bookinginfo 示例中,我看到服务通过http 而不是https 进行调用。如果服务之间有 mTLS 那么服务会进行 http 调用吗? 是否可
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
之前做过一个简单的纸牌游戏,对程序的整体流程有自己的想法。我最关心的是卡片触发器。 假设我们有一张名为“Guy”的牌,其效果为“每当你打出另一张牌时,获得 2 点生命”。我将如何将其合并到我的代码中?
我有 4 个 Activity 。 A、B、C 和 D。 用户可以从每个 Activity 开始任何 Activity 。 即 Activity A 有 3 个按钮来启动 B、C 和 D。以同样的方式
我做了一个简单的路由器类,简化后看起来像这样 // @flow import { Container } from 'unstated' type State = { history: Objec
我有两个 Activity ,比如 A1 和 A2。顺序为 A1->A2我从 A1 开始 A2 而没有在 A1 中调用 finish() 。在 A2 中按下后退按钮后,我想在 A1 中触发一个功能。但
我正在考虑在我的下一个项目中使用 BPEL。我试用了 Netbeans BPEL 设计器,我对它很满意。但在我决定使用 BPEL 之前,我想知道它对测试驱动开发的适用程度。不幸的是,我对那个话题知之甚
我需要将两个表格堆叠在一起,前后都有内容。我无法让后面的内容正常流动。堆叠的 table 高度可变。 HTML 结构: ... other content ...
我是 Hibernate 的新手。我无法理解 Hibernate 的流程。请澄清我的疑问。 我有“HibernateUtil.java ”和以下语句 sessionFactory = new Anno
早上好 我开始使用 Ruby,想创建一个小工具来获取我的公共(public) IP 并通过电子邮件发送。我遇到了字符串比较和无法处理的 if/else block 的基本问题。 代码非常简单(见下文)
我目前正尝试在我的团队中建立一个开发流程并阅读有关 GitFlow 的信息。它看起来很有趣,但我可以发现一些问题。 让我们假设以下场景: 我们完成了 F1、F2 和 F3 功能,并将它们 merge
我已经使用 git flow 有一段时间了。我很想了解一个特定的用例。 对于我的一个项目,我有一张新网站功能的门票。此工单取决于许多子任务。我想为主工单创建一个功能分支,然后为每个子任务创建一个脱离父
简介 "终结"一般被分为确定性终结(显示清除)与非确定性终结(隐式清除) 确定性终结主要 提供给开发人员一个显式清理的方法,比如try-finally,using。
你怎么知道在一个程序中已经发现并解决了尽可能多的错误? 几年前我读过一篇关于调试的文档(我认为这是某种 HOWTO)。其中,该文档描述了一种技术,其中编程团队故意将错误添加到代码中并将其传递给 QA
我是一名优秀的程序员,十分优秀!