oauth

Вопрос или проблема После множества исследований о аутентификации и авторизации, я пришел к следующему, но не уверен, что это правильно, поэтому, пожалуйста, помогите мне: Аутентификация — это то, кто вы. Авторизация — это то, что вы можете делать!

Вопрос или проблема У меня есть REST API, который используется двумя отдельными приложениями и аутентифицирует их с помощью M2M OAuth2 Client Credential Flow. Одно из двух приложений – это сервис автоматизации без пользовательского контекста. Второе –

Вопрос или проблема https://www.rfc-editor.org/rfc/rfc6749#section-4.1.1 указывает: 4.1.1. Запрос авторизации” “state” РЕКОМЕНДУЕТСЯ. Непрозрачное значение, используемое клиентом для поддержания состояния между запросом и обратным вызовом.

Вопрос или проблема Я использую JWT для аутентификации пользователей в моих мобильных и веб-приложениях в одном API. И access_token, и refresh_token имеют одинаковый срок действия Passport::tokensExpireIn(now()->addHours(1));

Вопрос или проблема Я новичок в OAuth 2.0. Я использовал OAuth PHP Server от BShaffer с использованием передачи кода авторизации и понимаю, что у клиентского приложения может быть свой OAuth токен, отдельный от аутентификации сессии, то есть если пользователь

Вопрос или проблема В потоке авторизации OAuth2, если я правильно понимаю, запрос на получение токена с использованием PCKE почти идентичен как для публичного клиента, так и для конфиденциального клиента. Единственное реальное отличие состоит в том, что

Вопрос или проблема Вопрос: Привет всем, я пытаюсь интегрироваться с API ImmoScout, используя OAuth 1.0a, но у меня возникла проблема. Моя текущая конфигурация использует express, axios и пакет oauth-1.0a. Проблема: Когда я пытаюсь получить токен запроса

Вопрос или проблема У нас есть браузерное приложение (одностраничное приложение на JavaScript) с аутентификацией через Azure OAuth2, которое также подключается к серверу на заднем плане через REST API. Текущая реализация работает следующим образом: на

Вопрос или проблема Вопрос для новичка, я не могу разобраться в преимуществах безопасности протокола обмена токенами, как указано в RFC8693. Для меня это похоже на шаблон делегирования, где веб-сервис (сервис A) выдает себя за аутентифицированного пользователя

Вопрос или проблема Мы создаем чистый фронтенд на чистом JavaScript (на Angular) для API, который по прежнему использует OAuth 1 по причинам наследия. Поскольку это чистый JavaScript, секрет потребителя является частью кода, который загружается в начале

Вопрос или проблема Я использую OAuth-учетные данные Google Drive (client_secrets, credentials, settings.yaml и т.д.), чтобы предоставить доступ к своему аккаунту Google Drive для своих скриптов на Python. Я загружаю только файлы в свой аккаунт Google Drive.

Вопрос или проблема В настоящее время я (зло)использую oauth2 конечную точку API, чтобы позволить пользователям API входить на мой сайт (используя response_type=code). Я не сохраняю refresh токены или даже access_token, так как эта oauth2 конечная точка

Вопрос или проблема Контекст Я читал где-то, что не следует использовать email (например, email, указанный в токене Google JWT) для совпадения при использовании SSO (например, OpenID Connect), но мне неясно, почему. Рекомендуемый подход, по-видимому

Вопрос или проблема У меня есть проблема с сообщением “Убедитесь, что на вашей главной странице есть ссылка на вашу политику конфиденциальности” в разделе экрана согласия Google OAuth в GCP. Из-за этого статус проверки остается “

Вопрос или проблема Можно ли использовать токен доступа как сессионную кукурузу в браузере? И как его защитить? Сценарий таков: у вас есть обновляющий токен, который действителен в течение более длительного периода времени, и токен доступа, который действителен

Вопрос или проблема Личные токены доступа против OAuth Мы хотим, чтобы пользователи нашего сервиса могли писать программы/скрипты, которые действуют от их имени (т.е. от имени пользователя). Я видел, что различные сервисы (GitHub, Digital Ocean, GitLab)