沒有資源所有者授權的OAuth2隱式授予
[英]OAuth2 Implicit Grant wihtout resource owner authorisation
問題描述
自最近48個小時以來,這讓我發瘋。
想法是通過auth服務器(由我們管理)對SPA應用程序進行隱式授予。 我可以看到用戶必須使用我們自己的身份數據庫或通過google(例如)登錄的流程,這很好。
但是在其他情況下,Auth服務器僅希望確保請求來自有效的(注冊的客戶端)。 例如,在應用程序(資源)的新用戶注冊功能或忘記密碼功能中。 顯然,在這種情況下,用戶將不會登錄,因為他/她首先沒有用戶名/密碼。
在這種情況下,我們如何使用隱式授予只是為了確保請求來自有效的客戶端而不是某些黑客的站點?
通過隱式授予,這甚至可能嗎?
謝謝
1 個解決方案
解決方案1
1 已采納 2014-07-06 14:25:08
使用隱式流時,應使用客戶端ID和回調URL注冊客戶端。
如何在使用 OAuth2 的資源所有者密碼憑據授予類型時對客戶端憑據保密
[英]How to keep the client credentials confidential, while using OAuth2's Resource Owner Password Credentials grant type
資源服務器如何使用oauth2中的令牌識別資源所有者?
[英]How can the resource server identify the resource owner using token in oauth2?
在OAuth2中,授權服務器是否將auth代碼直接發送給客戶端,或通過資源所有者發送給客戶端?
[英]In OAuth2, does the Authorization Server send the auth code directly to the Client, or to the Client through the Resource Owner?
關於使用 Facebook 隱式令牌進行服務器端資源服務器 OAuth2 身份驗證的安全問題
[英]Security concerns about using Facebook implicit token for server side resource server OAuth2 authentication
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用oAuth2“資源所有者憑證授予” IOS APP?
Spring安全性Oauth2資源所有者密碼憑證授權
如何在使用 OAuth2 的資源所有者密碼憑據授予類型時對客戶端憑據保密
OAuth2資源所有者密碼流安全性
OAuth2瀏覽器內應用使用授權授予而不是隱式授予
安全Oauth 2.0資源所有者密碼憑據授予類型
關於 OAuth2 授權類型
資源服務器如何使用oauth2中的令牌識別資源所有者?
在OAuth2中,授權服務器是否將auth代碼直接發送給客戶端,或通過資源所有者發送給客戶端?
關於使用 Facebook 隱式令牌進行服務器端資源服務器 OAuth2 身份驗證的安全問題
相關標簽