个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我们销售一个 Java 应用程序,它是 Web 应用程序的扩展,使用 IMAP、POP3 和 SMTP 连接到邮箱。到目前为止,我们仅支持基本身份验证(用户名和密码)并鼓励用户使用 TLS 和应用密码。
但现在 Microsoft 将在 10 月 1 日放弃对基本身份验证的支持,转而支持 Oauth2。此外,Gmail 目前仅支持 Oauth2。这就是为什么我们需要向我们的应用添加 Oauth 支持。
这给我们带来了多重挑战,因为我们的许多客户将他们的服务器置于防火墙之后,因此传入和传出连接通常受到限制。此外,由于应用程序作为 jar 文件分发,我们无法将客户端 secret 打包到应用程序中。此外,由于用户使用不同的服务器,可访问服务器的 url 也会有所不同。
我并不是真正的 OAuth 专家,我正在为如何最好地解决这个问题而苦苦挣扎。当用户通过 web ui 进行初始配置时,我们只能访问 web 浏览器。从那里开始,应用程序必须能够每 5 分钟连接一次邮箱,而不能进行用户交互。
从表面上看,隐式流看起来是我们用例的正确选择,因为它不需要客户端密码。但是隐式流不支持刷新 token ,我需要一个刷新 token 才能在没有用户交互的情况下持续获取新的访问 token 。
所以这是我的问题:
更新
这就是我最终做的:
对于 Gmail,我们允许用户注册他们自己的 oAuth 客户端。这是必要的,因为 Gmail 不提供动态客户端注册,并且设备注册不允许访问 gmail 范围。
所以我们给用户一个 UI 来输入他们的客户端 ID/客户端密码和一个 tutorial关于如何创建客户端:
这需要我们的客户进行一些额外的跑腿工作,但由于他们具备这样做的技术能力,所以这是可行的。
这是我们在不破解重定向 URL 并将客户端密码包含在 JAR 中的情况下让它工作的唯一方法。
到目前为止,bugcrowd 研究人员发现没有什么可提示的。
另一方面,Microsoft Exchange 非常容易。 Microsoft 支持公共(public)客户端的设备流。所以我们只使用它。
最佳答案
Which OAuth flow would be the right fit for this use-case?
我认为你应该实现代码流。它比隐式流更安全,而且在隐式流中你不会得到刷新 token 。如果用户使用浏览器执行初始配置,那么应该可以实现代码流。您可以查看的另一个流程是设备流程。如果您的应用能够将设备代码传达给用户,那么用户可以在另一个浏览器上执行身份验证,同意相关权限,您的应用将从授权服务器中提取 token 。
Is it ever acceptable to include the shared secret/private key in the jar file? As I understand the only downside would be the possibility of phishing which is an issue I cannot solve anyway.
不是说不能接受。它更像是 — 如果您将 secret 包含在 jar 中,那么您就不能再将其视为 secret 。然后,您应该将您的客户视为公共(public)客户,并在您的代码流 (PKCE) 中实现代码交换的证明 key 。另一种可能更好的解决方案是使用动态客户端注册。当您的应用程序首次配置时,它应该将自己注册为新客户端并获得自己的客户端 ID 和密码。这样您就不必将它包含在您的 jar 中。
How can I deal with different redirect urls for different customers?
这可以通过动态客户端注册来解决。您的应用程序可以使用新的重定向 URI 注册自己,具体实例将使用该 URI。否则,您将不得不创建一个代理,拥有一个重定向 URI,并在您的代理中决定您要将响应重定向到哪里,例如基于客户端 ID、状态或其他一些数据。
Is it safe to rely on the refresh token to keep an app authenticated indefinitely?
如果您实现 DCR 并随后使用 secret 客户端,那么是的,它是安全的。请记住,刷新 token 也可能有过期时间。所以可能还是需要重新登录。
如果您需要有关此处提到的功能的更多信息,可以查看这些资源:
关于oauth-2.0 - 在没有用户交互的情况下长时间运行的后台应用程序中的 imap、smtp 和 pop3 的 Oauth,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/73089987/
28
4
0
好的,所以我想从批处理文件运行我的整个工作环境... 我想要实现什么...... 打开新的 powershell,打开我的 API 文件夹并从该文件夹运行 VS Code 编辑器(cd c:\xy;
我正在查看 Cocoa Controls 上的示例并下载了一些演示。我遇到的问题是一些例子,比如 BCTabBarController ,不会在我的设备上构建或启动。当我打开项目时,它看起来很正常,没
我刚刚开始学习 C 语言(擅长 Java 和 Python)。 当编写 C 程序(例如 hello world)时,我在 ubuntu cmd 行上使用 gcc hello.c -o hello 编译
我在 php 脚本从 cron 开始运行到超时后注意到了这个问题,但是当它从命令行手动运行时这不是问题。 (对于 CLI,PHP 默认的 max_execution_time 是 0) 所以我尝试运行
我可以使用命令行运行测试 > ./node_modules/.bin/wdio wdio.conf.js 但是如果我尝试从 IntelliJ 的运行/调试配置运行它,我会遇到各种不同的错误。 Fea
Error occurred during initialization of VM. Could not reserve enough space for object heap. Error: C
将 Anaconda 安装到 C:\ 后,我无法打开 jupyter 笔记本。无论是在带有 jupyter notebook 的 Anaconda Prompt 中还是在导航器中。我就是无法让它工作。
我遇到一个问题,如果我双击我的脚本 (.py),或者使用 IDLE 打开它,它将正确编译并运行。但是,如果我尝试在 Windows 命令行中运行脚本,请使用 C:\> "C:\Software_Dev
情况 我正在使用 mysql 数据库。查询从 phpmyadmin 和 postman 运行 但是当我从 android 发送请求时(它返回零行) 我已经记录了从 android 发送的电子邮件是正确
所以这个有点奇怪 - 为什么从 Java 运行 .exe 文件会给出不同的输出而不是直接运行 .exe。 当 java 在下面的行执行时,它会调用我构建的可与 3CX 电话系统配合使用的 .exe 文
这行代码 Environment.Is64BitProcess 当我的应用单独运行时评估为真。 但是当它在我的 Visual Studio 单元测试中运行时,相同的表达式的计算结果为 false。 我
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
我写了一个使用 libpq 连接到 PostgreSQL 数据库的演示。 我尝试通过包含将 C 文件连接到 PostgreSQL #include 在我将路径添加到系统变量 I:\Program F
如何从 Jenkins 运行 Android 模拟器来运行我的测试?当我在 Execiute Windows bath 命令中写入时,运行模拟器的命令: emulator -avd Tester 然后
我已经配置好东西,这样我就可以使用 ssl 登录和访问在 nginx 上运行的 errbit 我的问题是我不知道如何设置我的 Rails 应用程序的 errbit.rb 以便我可以运行测试 nginx
我编写了 flutter 应用程序,我通过 xcode 打开了 ios 部分并且应用程序正在运行,但是当我通过 flutter build ios 通过 vscode 运行应用程序时,我得到了这个错误
我有一个简短的 python 脚本,它使用日志记录模块和 configparser 模块。我在Win7下使用PyCharm 2.7.1和Python 3.3。 当我使用 PyCharm 运行我的脚本时
我在这里遇到了一些难题。 我的开发箱是 64 位的,windows 7。我所有的项目都编译为“任何 CPU”。该项目引用了 64 位版本的第 3 方软件 当我运行不使用任何 Web 引用的单元测试时,
当我注意到以下问题时,我正在做一些 C++ 练习。给定的代码将不会在 Visual Studio 2013 或 Qt Creator 5.4.1 中运行/编译 报错: invalid types 'd
假设我有一个 easteregg.py 文件: from airflow import DAG from dateutil import parser from datetime import tim
我是一名优秀的程序员,十分优秀!