使用没有客户端密钥的授权代码替换 OAuth2 隐式授予

2023-12-26

一些公司正在使用不带客户端密钥的 OAuth 2.0 身份验证代码来代替客户端 JavaScript 应用程序的隐式授予。使用没有客户端密钥的身份验证代码与隐式授予的一般优点/权衡是什么？是否有更多的公司和/或标准组织正在这样做？

Red Hat、Deutsche Telekom 和其他公司已根据本文和下面的 IETF OAuth 邮件列表帖子采取了这种方式。

https://aaronparecki.com/oauth-2-simplified/ https://aaronparecki.com/oauth-2-simplified/

Implicit以前推荐给没有秘密的客户，但已被使用没有秘密的授权代码授予所取代。

...

以前，建议基于浏览器的应用程序使用“隐式”流程，该流程立即返回访问令牌并且没有令牌交换步骤。自最初编写规范以来，行业最佳实践已发生变化，建议在没有客户端密钥的情况下使用授权代码流。这提供了更多创建安全流的机会，例如使用状态参数。参考：Redhat https://www.ietf.org/mail-archive/web/oauth/current/msg16966.html, 德国电信 https://www.ietf.org/mail-archive/web/oauth/current/msg16968.html, 智慧健康IT https://www.ietf.org/mail-archive/web/oauth/current/msg16967.html.

以下是上面引用的消息。

Red Hat https://www.ietf.org/mail-archive/web/oauth/current/msg16966.html

对于我们的 IDP [1]，我们的javascript库使用身份验证代码流，但需要公共客户端、redirect_uri 验证，并且还执行 CORS 检查和处理。我们不喜欢隐式流程，因为

1）访问令牌将在浏览器历史记录中

2) 短期访问令牌（秒或分钟）需要浏览器重定向

德国电信 https://www.ietf.org/mail-archive/web/oauth/current/msg16968.html

德国电信也是如此。我们的javascript客户端还使用带有 CORS 处理的代码流，当然还有 redirect_uri 验证。

智能健康信息技术 https://www.ietf.org/mail-archive/web/oauth/current/msg16967.html

我们对 SMART Health IT [1] 采用了类似的方法，使用公共客户端的代码流来支持浏览器内应用程序和

2018 年底，公共客户（SPA 应用）的范式发生了巨大变化。正如原始问题中所引用的那样，之前推荐的隐式流量受到了多方的批评。 2018 年 12 月发布了两份 IETF 草案，描述了可能的攻击媒介和最佳实践。两者都建议使用授权代码流而不是隐式流。

https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-11 https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-11
https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps-00 https://datatracker.ietf.org/doc/html/draft-ietf-oauth-browser-based-apps-00

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

oauth20

redhat

使用没有客户端密钥的授权代码替换 OAuth2 隐式授予的相关文章

即使退出命令后，Shell 脚本仍继续运行

我的shell脚本如下所示 bin bash Make sure only root can run our script EUID ne 0 echo This script must be run as root 1 gt 2 exit
Spring Cloud Gateway + Spring安全资源服务器

我真的不会把它放在这里但我真的很困惑我想实现以下目标我在跑步 Java 14 Spring Cloud Gateway版本 Hoxton SR3 Spring Boot版本 2 2 5 RELEASE 现在我想将安全性集成到我的网关和
使用 Python gdata 和 oAuth 2 对日历进行身份验证

我正在将一个 Python 应用程序从 oAuth 1 迁移到 oAuth 2 该应用程序读取用户的 Google 日历提要使用 oAuth 1 如果用户可以使用他的 GMail 进行身份验证我的应用程序将打开浏览器帐户并授权访问我
org.springframework.security.oauth2.common.exceptions.InvalidGrantException：凭据错误

我正在开发Spring Boot 授权服务器 OAuth 资源服务器在这个例子中我可以通过邮递员轻松查询spring microservices oauth 服务器并获取受保护的数据我创建了客户端来访问邮递员正在执行的数据但我遇到了
Keycloak：使用新的 Chrome SameSite/Secure cookie 强制执行时，令牌请求中缺少会话 cookie

最近我使用 Keycloak 的应用程序在身份验证后停止处理 400 令牌请求到目前为止我发现在令牌请求中 Keycloak cookie AUTH SESSION ID KEYCLOAK IDENTITY KEYCLOAK SESS
在对 VSTS API 的 Ajax 调用中使用 OAuth Bearer Token 而不是 PAT

我已成功让我的 ASP NET MVC5 应用程序在服务器端用 C 读取和写入 VSTS 工作项然而为了获得最佳的用户体验我真的想使用 Ajax 进行一些更新我已经能够使用在我自己的帐户下创建的个人访问令牌 PAT 完美地完成此操作
使用 OWIN Identity 注册来自多个 API 客户端的 Web API 2 外部登录

我想要以下架构我为本示例编写了产品名称在一台服务器上运行的 Web API 2 应用程序 http api prettypictures com http api prettypictures com 在另一台服务器上运行的 MVC 5
Microsoft Graph API 不返回刷新令牌

我创建了一个应用程序https apps dev microsoft com https apps dev microsoft com 具有以下应用程序权限 Calendars Read Admin Only Calendars ReadW
OAuth2.0 redirect_uri 的参数值无效：缺少方案

我正在将 Oauth 2 0 流程用于部署在 GCP 中的 appengine Web 应用程序我正在使用 IAP 我有一个使用 Cloud KMS 加密的有效 cliend secret 文件但我遇到了以前没有的错误 oauthlib
Spring OAuth2 - JWT 令牌在服务器上工作但不在本地主机上工作？

我看到了myapp能够在服务器上正确处理 OAuth2 JWT 令牌但在本地主机上给出令牌转换错误我的流程如下在服务器上 the myapp就在我们的后面custom api gateway 获取访问令牌通过邮递员我点击了 api
如何允许应用程序声明“https”方案 URI？（即如何从 https URL 打开桌面应用程序？）

目前我正在尝试为 OAuth 2 0 授权流程创建一个客户端实际上是一个本机应用程序并且在规范中就在这儿 https www rfc editor org rfc rfc8252 section 7 2据说有 3 种方法来处理重定向 U
JWT - 配置授权服务器并将颁发者设置为其本身

我正在尝试按照本指南设置授权服务器 http bitoftech net 2014 10 27 json web token asp net web api 2 jwt owin authorization server http bito
是否可以使用相同的客户端凭据拥有多个有效的访问令牌？

我有一个使用 OAuth2 身份验证的 API 设置客户已使用 WSO2 订阅了我的 API 我们不使用刷新令牌所有访问令牌将在 1 小时后过期如果我的客户端使用相同的客户端凭据请求 2 个访问令牌会发生什么情况第一个令牌会被撤销
Google OAuth 2 和状态参数值需要在重定向 url 中注册

根据 Google Oauth 2 0 文档的状态参数指示收到响应后可能对您的应用程序有用的任何状态 Google 授权服务器会往返此参数因此您的应用程序会收到与发送的值相同的值可能的用途包括将用户重定向到站点中的正确资源随机数和跨
未从 ADFS 3.0 获取 OAuth2 访问令牌中使用的 JWT 中的用户身份

我通过以下方式使用 ADFS 3 0 支持的授权流程浏览器连接到 MyService MyService 将浏览器重定向到 ADFS 以进行 OAuth 浏览器连接到 ADFS 获取 OAuth 授权代码 ADFS通过浏览器对用户进行身份
我如何通过 Spring Security 创建 oauth 2 用户名密码流

我正在尝试在 Spring Security 上实现 oauth2 用户名密码流程但我找不到任何文档和示例代码我正在检查 Sparklr 和 tonr insode oauth2 样本我怎样才能实现它 oauth2 2 条腿我如何禁
POST 请求“访问此资源需要完全身份验证”

是否有人在尝试使用 POST 请求 oauth token 进行身份验证时遇到错误访问此资源需要完全身份验证卷曲命令 curl localhost 85 oauth token d grant type password d clien
python ImportError：没有名为 Tkinter 的模块

每次我尝试奔跑import matplotlib 我有错误ImportError No module named Tkinter 输出结果如下所示 Python 2 7 5 default Aug 2 2016 04 20 16 GCC 4
如何获取 Google Vertex AI 服务的授权令牌？

我正在尝试通过 REST 调用 Google 的 Vertex AI API 如下所示 https us central1 aiplatform googleapis com v1 projects 我无法弄清楚从哪里获取访问令牌 X P
Azure 应用程序错误地请求管理员同意？

我希望有人对我在Microsoft的Azure Portal中使用新注册的应用程序遇到的问题有所了解 portal azure com https portal azure com 当我收到以下对话框时我的登录问题右下角出现错误代码和消

随机推荐

Windows 上的 RSelenium 问题与 startServer()

我刚刚从 github 安装了 RSelenium 通过 cran 安装时也遇到了同样的问题在 Windows 机器中出现以下错误 Error in if file exists file FALSE if missing asText
Spark 在 Python/PySpark 中复制数据帧列的最佳实践？

这是针对使用 Spark 2 3 2 的 Python PySpark 我正在寻找最佳实践方法使用 Python PySpark 将一个数据帧的列复制到另一个数据帧以处理 10 十亿行的非常大的数据集按年月日均匀分区每行有 12
如何在 Windows Mobile 上使标签和其他控件与背景图像透明？

我正在用 C 开发智能设备应用程序我是 Windows Mobile 新手我已使用以下代码将背景图像添加到我的应用程序中的表单中我想使该表单上的标签和其他控件透明以便我的窗口表单能够正确显示 protected override v
两种类型的 ASP.NET Core Web 应用程序？

我尝试通过 Visual Studio 创建一个新的 ASP NET Core Web 应用程序当新项目对话框打开时我注意到它提供了两个 ASP NET Core 模板一个使用 NET core 另一个使用 NET Core NET
如何使用 Facebook 开发者工具包将内容发布到留言墙上？

有人有使用 Facebook 开发者工具包的经验吗我正在尝试向 Facebook 用户的留言墙上发布内容但不知道如何使用 API 有人可以给我一个例子或者给我一些关于 API 使用的文档吗我实际上找到了文档和示例来完成我在这里寻找的事
.NET System.Net.CookieContainer 线程安全吗？

NET 类 System Net CookieContainer 线程安全吗 Update 交钥匙回答有什么方法可以确保异步请求期间修改的变量即 HttpWebRequest CookieContainer 的线程安全性是否有任何属性
定义了 HPA 的 kubernetes 集群是否需要 PDB？

我有一个 Kubernetes 集群通过策略我确保所有服务都定义了请求限制和 HPA 以便我可以实现平滑的自动缩放我还定义了ResourceQuota 在这样的场景下是否还需要定义PDB 请指教 Pod 中断预算 PDB 不是必需
Docker 组成相当于“docker run --gpu=all”选项

要自动化配置 docker run参数用于启动 docker 容器我正在写一个docker compose yml file 我的容器应该可以访问 GPU 所以我目前使用docker run gpus all范围这在公开 GPU 以供
Windows 10 NotifyIcon 图标总是看起来很像素化

我在 Windows 10 中制作 NotifyIcon 时遇到问题其图标资源看起来一点也不模糊这两个图标都会发生这种情况SystemIcons类或者我自己使用的Properties Resources 我尝试使用以下命令创建图标的新
显示两个搜索框和分页数据的数据表

我正在尝试将数据表集成到我的项目中我的一个表有一个用于添加其他行的按钮我使用了所示的方法here http www datatables net forums discussion 8485 add row of inputs to m
Dojo JSONP 请求后响应存储在哪里？

JavaScript 例如我有以下 JavaScript 代码 Dojo 1 6 已加载 dojo require dojo io script PART I var jsonpArgs url http myapp appspot co
我可以使用 Guzzle 进行 GraphQL API 消费吗？

google verse 中没有太多关于在 PHP 中使用 GraphQL API 的信息从我的角度来看有几个包主要是关于创建您自己的 GraphQL API 但没有任何特定于消费的包我可能把事情变得过于复杂了或者我的问题的解决方案
如何将文件添加到Eclipse RCP应用程序根目录（应用程序类型插件）？

我在官方文档和一些帖子中看到可以将文件添加到 Eclipse RCP 应用程序的根目录 http help eclipse org kepler index jsp topic org eclipse pde doc user tasks
根据多个可能的分隔符拆分 DataFrame 中的列

我在 pandas 的数据框中有一个地址列其中包含 3 种类型的信息即街道殖民地和城市三个值带有两个可能的分隔符要么是要么是空格例如它可以是Street1 Colony1 City1 or Street1 Colony1 Ci
使用 Java Files.copy 复制后出现空白页的 PDF 文件

我正在尝试将类路径中的文件复制到另一个临时位置这是它的代码 InputStream inputStream this getClass getClassLoader getResourceAsStream readmeFile Path
activerecord 中按外键排序

我有一张桌子Foo and Bar Foo有一个Bar 当我查询时Foo 我如何按日期列进行排序Bar table Thanks Foo find all joins gt boo order gt bars created at DESC
检测点击以显示/隐藏 UINavigationBar

我对 iPhone 开发有点陌生还没有做过任何涉及触摸的事情我的视图层次结构如下 UIView UIImageView UIScrollView CustomView 如何检测用户是否点击了屏幕上的任意位置以便相应地显示隐藏导航栏
Javascript 数字比较失败

我试图理解我的错误在哪里因为 JS 不可能数学失败在 HTML 表单上我有一个选择和 9 个文本输入然后在 JS 上我比较输入的文本我的问题如下如果我写在 new da3 1400 new a3 1900 JS 会说 ok3
在 ASP.NET MVC 中使用 Universe 数据库处理身份验证的最佳方法是什么？

我们使用名为 Universe 的 IBM 数据库该数据库将所有用户 ID 密码和配置文件信息保存在名为 USERINFO 的表中我可以使用会员资格提供程序连接到此数据库并对用户进行身份验证吗数据库访问实际上是通过 Web 服务进行的
使用没有客户端密钥的授权代码替换 OAuth2 隐式授予

一些公司正在使用不带客户端密钥的 OAuth 2 0 身份验证代码来代替客户端 JavaScript 应用程序的隐式授予使用没有客户端密钥的身份验证代码与隐式授予的一般优点权衡是什么是否有更多的公司和或标准组织正在这样做 Red H

使用没有客户端密钥的授权代码替换 OAuth2 隐式授予

使用没有客户端密钥的授权代码替换 OAuth2 隐式授予 的相关文章

随机推荐

热门标签

使用没有客户端密钥的授权代码替换 OAuth2 隐式授予的相关文章