oauth2

Вопрос или проблема Предыстория В течение двух лет я с удовольствием получал доступ к своим аккаунтам Gmail с помощью neomutt. Я синхронизирую данные между neomutt локально и своим онлайн-аккаунтом Gmail с помощью mbsync и пароля приложения “

Вопрос или проблема У меня есть REST API, который используется двумя отдельными приложениями и аутентифицирует их с помощью M2M OAuth2 Client Credential Flow. Одно из двух приложений – это сервис автоматизации без пользовательского контекста. Второе –

Вопрос или проблема Допустим, у меня есть сервер A (веб-сервер). Пользователи первоначально используют внешний провайдер, такой как Google, для аутентификации на этом сервере. В моей базе данных создается запись о том, что этот пользователь вошел в систему

Вопрос или проблема https://www.rfc-editor.org/rfc/rfc6749#section-4.1.1 указывает: 4.1.1. Запрос авторизации” “state” РЕКОМЕНДУЕТСЯ. Непрозрачное значение, используемое клиентом для поддержания состояния между запросом и обратным вызовом.

Вопрос или проблема В потоке авторизации OAuth2, если я правильно понимаю, запрос на получение токена с использованием PCKE почти идентичен как для публичного клиента, так и для конфиденциального клиента. Единственное реальное отличие состоит в том, что

Вопрос или проблема Согласно RFC 6749 строки [scopes] определяются сервером авторизации. Однако разве это не сервер ресурса определяет области? Я имею в виду, что области отличаются от сервера ресурса к серверу ресурса, не так ли?

Вопрос или проблема Я работаю с клиентом, который для использования своего веб-API OAuth 2.0 требует, чтобы я предоставил им JSON Web Key (JWK), содержащий встроенный сертификат X.509. Затем, когда я запрашиваю информацию из API, они говорят, что мне нужно передать “

Вопрос или проблема Я видел несколько подобных вопросов, которым несколько лет, и не уверен, есть ли какие-либо новые мнения по этому поводу. Я вижу, что этот поток не рекомендуется для мобильных нативных приложений. Каковы практические недостатки с точки

Вопрос или проблема Мы создаем чистый фронтенд на чистом JavaScript (на Angular) для API, который по прежнему использует OAuth 1 по причинам наследия. Поскольку это чистый JavaScript, секрет потребителя является частью кода, который загружается в начале

Вопрос или проблема У меня есть аккаунт Gmail, который использует POP для загрузки электронных писем из почтового ящика GWS (Google Workspace), по сути, это другой аккаунт Gmail. Чтобы это заработало, мне пришлось включить LSA (менее безопасные приложения) для этого аккаунта GWS.

Вопрос или проблема Я использую OAuth-учетные данные Google Drive (client_secrets, credentials, settings.yaml и т.д.), чтобы предоставить доступ к своему аккаунту Google Drive для своих скриптов на Python. Я загружаю только файлы в свой аккаунт Google Drive.

Вопрос или проблема ИЗМЕНЕНИЕ: Я более подробно изучил проблему и нашел документацию для получения OAuth токена с использованием OpenID Connect, но не с OpenID 2.0. Это возможно? У нас есть серверное приложение, которое возвращает наши OAuth токены с

Вопрос или проблема Этот стандарт определяет механизм DPoP для криптографического связывания токенов доступа. Также упоминается связывание с кодом авторизации. Но вы видите в этом какой-то смысл? Да, это явно способ предотвратить атаки инъекции кодов

Вопрос или проблема Можно ли использовать токен доступа как сессионную кукурузу в браузере? И как его защитить? Сценарий таков: у вас есть обновляющий токен, который действителен в течение более длительного периода времени, и токен доступа, который действителен