程序员经验分享-hwhale

了解oauth 2.0中客户端id、客户端密钥的需求

2024-01-21

我有一个网站,要求用户通过提供电子邮件和密码来登录以获得访问令牌,其中访问令牌令牌用于访问 api。

然后,用户可以在访问令牌提供的范围内获得读/写的访问权限。

那么,这里我想了解的是,client id 和 client Secret 在这种情况下扮演什么角色,以及实现 client id 和 client Secret 可以带来什么好处?因为我真的不认为需要实现客户端 ID 和客户端密钥,因为用户可能只使用访问令牌来获得访问权限。


如果您无需发放客户端 ID 也能实现您的愿望,则无需发放客户端 ID。例如,如果您有权直接处理电子邮件(用户 ID)和密码,则不需要客户端 ID。

通常,仅当您希望允许(第三方)客户端应用程序以受限权限访问(您的服务)用户数据时,才需要客户端 ID。在这种情况下,每个客户端应用程序都必须获得用户的授权。因此,您的系统将需要客户端 ID 来了解用户已向哪个客户端应用程序授予权限。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

OAuth

oauth20

accesstoken

了解oauth 2.0中客户端id、客户端密钥的需求 的相关文章

  • 在 ASP.NET MVC 中自定义授权

    我的 Controller 类用 AuthorizeAttribute 装饰以保护操作 Authorize Roles User Level 2 public class BuyController Controller 每当调用操作 但用

  • 如何在 ClearCase (Windows Server) 中限制 VOB 读取访问?

    出于合规性原因 我被要求研究如何限制对 ClearCase 中某些 VOB 的读取访问 因此这需要可审计等 到目前为止我已经找到了一个解决方案 我将在这里发布 但我仍然有疑问 所以任何帮助将不胜感激 我认为 尤其是细节决定成败 为了便于论证

  • 如何保护 RESTful Web 服务的安全?

    我必须实施安全RESTful Web 服务 https www ibm com developerworks webservices library ws restful 我已经使用谷歌做了一些研究 但我陷入困境 Options TLS H

  • 是否可以通过样式表进行跨域攻击?

    我需要为我的 Web 应用程序的用户创建的网页实现灵活的样式系统 理想情况下 我希望允许他们使用 CSS 正在链接到用户定义的 url 处的样式表Bad Idea Why 可以安全地做到这一点吗 您对此有何看法 我试图避免构建样式 编辑器

  • 使用 PHP 安全连接 MySQL 的最佳方法[重复]

    这个问题在这里已经有答案了 我想了解一下你们认为使用 PHP 连接到 MySQL 数据库的最安全方法 目前我正在做的方式是一个实用程序 PHP 文件 我将其包含在所有其他 PHP 文件的顶部 实用程序 PHP 文件是这样的 有什么建议么 建

  • 64 位上的 ASLR 和内存布局:是否仅限于规范部分 (128 TiB)?

    当加载启用 ASLR 的 PIE 可执行文件时 Linux 是否会限制程序段到规范部分 最多 0000 7fff ffff ffff 的映射 还是会使用完整的较低部分 起始位 0 显然 Linux 不会给你的进程提供不可用的地址 这会导致它

  • asp.net 中的 HTML 标签注入

    我的安全团队报告了以下代码的一个 html 标签注入安全问题 function ClosePopUp objBhID var pageName window location pathname var modalPopupBehavior

  • 如何避免使用 WinApi.Windows 的 Delphi 应用程序中的 dll 劫持

    Delphi 最新版本使用各种系统 dll 的静态链接 例如 WinApi Windows 单元中的 version dll 这会导致在单元初始化之前加载 version dll 这会打开一个安全漏洞 可以通过将受感染的 version d

  • AADSTS50013:断言受众声明与所需值不匹配

    我有一个单页应用程序 可以使用 adal angular js adal js client 对 Azure 中的用户进行身份验证 返回的令牌被插入到 auth 标头中并传递到 Web API 服务器 此 Web api 使用代表工作流程为

  • Facebook OAuth 登录停止工作

    在我的网站中 我使用 oauth 通过 google twitter 和 facebook 登录 24 小时后 我注意到 Facebook 登录不再有效 当我尝试登录时收到以下错误消息 无法加载 URL 此 URL 的域不包含在应用程序的域

  • 我首次设置 AWS EB 时创建的默认安全组是什么?

    我对几个组所扮演的角色感到困惑 这些组似乎已自动添加到我的 AWS 安全组列表中 并以我收集的默认配置进行连接 并且想知道它们是如何工作的 以及它们的安全性如何 改变 具体来说 有三个神秘之处 launch wizard 1其中有一条入站规

  • 为移动应用程序创建 API - 身份验证和授权

    Overview 我正在寻找为我的应用程序创建一个 REST API 最初 主要目的是供移动应用程序 iPhone Android Symbian 等 使用 我一直在研究基于 Web 的 API 的身份验证和授权的不同机制 通过研究其他实现

  • 将旧密码转移到新的哈希算法?

    我正在将站点切换到 Rails 这是一个拥有超过 5 万用户的大型网站 问题是 现有的密码哈希方法是极其虚弱的 我有两个选择 1 切换到新算法 为每个人生成随机密码 然后通过电子邮件将这些密码发送给他们 并要求立即更改 2 实现新算法 但使

  • IdentityServer 3返回invalid_client

    我正在使用 IdentityServer3 和 EF 我有 API 项目 我想使用以下方式验证其访问权限access token 所以基于sample https identityserver github io Documentation

  • 在 C# 中创建我的对称密钥

    一直在审查一些对称加密方法 我看到了很多在类中硬编码私有静态变量的示例 通常类似于 string key THISISYOURENCRYPTIONKEY 然后在更远的地方 代码使用它来加密 解密 抛开正确的实现 算法 策略以及存储它的位置

  • 正确使用 EncryptedSharedPreferences

    Android 最近发布了 EncryptedSharedPreferences 它自动加密 SharedPreferences 键 值数据 虽然这很好 但我发现我可以简单地连接 API 调用并检索解密的值 除了在调用 EncryptedS

  • python:PyPi公共模块:如何确定是否安全?

    我已经完成了我的 python 3 应用程序 它正在使用 PyPi 的多个公共模块 然而 在我将其部署到我公司的企业 将处理客户的凭据并访问第 3 方 API 之前 我需要尽职调查确保它们既安全又安全 我必须执行哪些步骤 验证 PyPi 模

  • set-key-partition-list codesign 后仍提示密钥访问

    我正在导入一个PEM使用以下命令包含我的代码签名身份的公钥和私钥的文件 security import PEM FILE k Library Keychains login keychain T usr bin codesign T usr

  • SSLContext 初始化

    我正在看JSSE参考指南 我需要获取一个实例SSLContext为了创建一个SSLEngine 所以我可以使用它Netty以启用安全性 获取实例SSLContext I use SSLContext getInstance 我看到该方法被重

  • 使用 Apache HTTPd 模块的 OAuth 2.0 身份验证

    是否可以使用 Apache HTTPd 服务器模块来实现 OAuth 2 0 或 1 0 我选择这条路线是因为每个请求都会首先到达 HTTPd 模块 因此我必须从那里进行身份验证 如果可能的话 请分享相关链接 我要补充一下尤金尼奥的答案mo

随机推荐

热门标签