个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我正在编写将与某些 Oauth2 提供程序集成的客户端应用程序。我将使用 native android 应用程序作为前端,将 spring-boot 作为后端。我想在 PKCE 中使用 authorization_code 流程。 我的问题是谁应该生成代码验证器和代码质询?我的后端还是我的原生应用?
我可以看到两个选项:
1) 前端正在调用授权端点。后端正在生成code_verifier 和code challenge 并将code challenge 返回给前端,并将其重定向到授权服务器。用户登录,授予权限,然后接收授权码并转发给后端。然后后端使用 code_verifier、客户端 id 和客户端密码调用授权服务器并接收访问 token
2) FE正在生成code_verifier和code challenge。它使用 code_challenge 调用授权提供程序,用户登录,授予权限,然后收到授权代码。前端用code_verifier转发授权码,然后后端用授权码、code_verifier、client id和client secret调用authorization provider。
哪种方法更好更安全?
最佳答案
我们选择了方法 2)。
对手可能会拦截前端和后端之间的流量,并使用代码从您的后端端点获取 token 。使用选项 1,您仅保护后端和授权提供程序之间的通信,而不保护前端和后端之间的通信。
关于oauth-2.0 - Oauth2 PKCE 谁应该生成代码验证器和代码质询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61999232/
26
4
0
我是 OAuth 世界的新手,我想了解使用 PKCE 相对于传统授权代码授予的好处。 (我的许多假设可能是错误的,所以我会感谢你的更正。) 我是一名移动应用程序开发人员,根据 OAuth 文档,客户端
我知道 OAuth 2.0 Authorization Code with PKCE Flow 是 OAuth 的最佳实践。我们计划将它用于我们的 WEB 应用程序。但我不明白如何在不使用浏览器进行身
我很高兴听到我现在可以使用 Spotify Web API,而无需通过 PKCE 使用后端应用程序。不幸的是,我似乎有某种误解,无法让它发挥作用。 在此过程中,我可能会犯一些小错误,但我做了一次但无济
我有一个客户端应用程序,我想使用 Auth0 进行授权,我正在使用此处描述的工作流程: https://auth0.com/docs/api-auth/tutorials/authorization-
我正在编写将与某些 Oauth2 提供程序集成的客户端应用程序。我将使用 native android 应用程序作为前端,将 spring-boot 作为后端。我想在 PKCE 中使用 authori
我正在考虑将我的 Angular 应用程序中的身份验证流程从隐式流程升级为使用 pkce 的授权代码流程。我使用 Azure AD 作为身份验证提供程序。 我在 Microsoft 文档中没有找到与
在 Angular6+ 应用程序中实现 MSAL 库以与 AZURE AD 集成时,我需要一些输入。 当我阅读微软文档时,我遇到了两个流程“隐式授权流程”和“身份验证代码流程”。微软团队自己建议,与“
我希望扩展我们的 ID 服务器实例以支持移动应用程序,并希望将授权代码流与 PKCE 一起使用。由于这是一个公共(public)客户端,我不希望将 secret 存储在应用程序上,但似乎 ID3 需要
我尝试使用 pkce 和授权代码流从 keycloak 获取 token ,但没有成功。 请求参数(来自 postman ): curl -X POST \ http://keycloak-ar.
我们有用 .NET CORE 编写的 REST Web API,用于 REACT SPA,我们将 OKTA 与 PKCE 结合使用。 对于我们的 API,我们有使用 postman/newman 编写
我开始使用 IdentityServer4,并通过资源所有者流程完成了它,但由于不再推荐 PKCE,我决定更改它。我收到以下错误消息,这很明显,因为我不再使用 GrantTypes.ResourceO
我有一个现有的 Angular 应用程序,它使用 angular-oauth2-oidc 连接到本地托管的身份服务器。我已经剥离了 angular-oauth2-oidc 组件并实现了与 AWS Co
我被要求将一个新的 Web 应用程序与我们的 B2C 实现集成,并且要求是通过 PKCE 支持 Grant Flow。 B2C/IEF 支持吗?有关所需步骤的任何指示? 我充满希望,因为我找到了 th
我正在尝试使用 PKCE 将 Discord OAuth 添加到移动应用程序。我能够成功使用 DiscordAPI 进行身份验证,并且收到从服务器返回的代码。 但是,当我尝试调用 https://di
是否可以在当前版本的 Spring Security 中为 PKCE 身份验证创建授权服务器? 我做了研究,发现了这个授权服务器项目 https://github.com/spring-project
我正在尝试使用 PKCE 将 Discord OAuth 添加到移动应用程序。我能够成功使用 DiscordAPI 进行身份验证,并且收到从服务器返回的代码。 但是,当我尝试调用 https://di
是否可以在当前版本的 Spring Security 中为 PKCE 身份验证创建授权服务器? 我做了研究,发现了这个授权服务器项目 https://github.com/spring-project
默认情况下,AppAuth发送 S256 PKCE身份验证请求的代码挑战。如果我需要与仅支持 plain 代码挑战方法的服务器进行互操作,我该如何配置我的授权请求? 最佳答案 iOS:您可以使用 OI
我正在构建 2 个应用程序;一个前端,一个后端。 后端将使用 Rails API + Doorkeeper Gem(oauth2 提供程序)构建,而前端将使用 React Native 构建。 目前,
将授权代码流与 Spotify-API 的 PKCE 一起使用,我收到错误,我的 code_verifier 不正确,据我目前所知,这必须是编码问题。{"error":"invalid_grant",
我是一名优秀的程序员,十分优秀!