簡體 English 中英

本地state清除后授權碼流程如何記住用戶？

[英]How does Authorization Code flow remember the user after local state is cleared?

原文 2020-12-18 20:22:40 8 1 oauth-2.0/ msal/ msal.js/ pkce

給定一個通過 Microsoft 的msal.js使用 Oauth 2.0授權代碼流的應用程序，我通過提供我的憑據登錄。 然后我完全清除瀏覽器的 state、緩存、本地/會話存儲，並刷新頁面，使單頁應用程序不知道我已登錄，但我仍然使用 Microsoft 后端登錄。

當我啟動另一個登錄時，它可以靜默進行，無需重新詢問我的憑據。

顯然，通過對https://login.microsoftonline.com/redacted/oauth2/v2.0/token的請求，即使我清除了 js memory 和所有緩存/會話/本地，Microsoft 后端也可以將我認證為同一用戶貯存

此請求如何獲取有效代碼/ code_verifier以發送到授權服務器，以便在不重新輸入憑據的情況下為用戶取回訪問令牌？

更多細節：

以下確實需要我重新輸入我的憑據（正如我所期望的那樣）：

私人/隱身標簽
關閉瀏覽器並重新打開
在同一台計算機上使用不同的瀏覽器

以下不需要我重新輸入我的憑據，可以靜默登錄：

在清除本地 state 的新選項卡中進行身份驗證
在具有清除本地 state 的同一瀏覽器的新 window 中進行身份驗證
刷新選項卡並清除本地 state

我希望這 3 個“非”場景需要憑據，但它們不需要。 如果瀏覽器不保留任何本地 state，如何進行身份驗證？

1 個解決方案

Microsoft 庫正在存儲 AAD 擁有的 cookie，而不是我的應用程序。 回答 github

為什么可以將授權代碼流的狀態參數存儲在 cookie 中？

[英]Why is it okay to store the state parameter for Authorization Code flow in a cookie?

如何在使用授權代碼流時讓用戶保持用戶登錄 RingCentral？

[英]How can I keep user keep user logged in RingCentral while using Authorization code flow?

在 OpenID Connect with PKCE 中，客戶端如何知道用戶重定向后使用哪個 code_verifier 發送哪個授權碼？

[英]In OpenID Connect with PKCE, how does the client know which code_verifier to send with which authorization code after user redirect?

授權代碼流還是將oauth用戶與內部用戶匹配的隱式？

[英]Authorization Code Flow or Implicit to match a oauth user to an internal user?

spotipy授權代碼流程

[英]spotipy authorization code flow

.NET 框架，OIDC；如何在基於授權碼的登錄流程中正確驗證用戶身份？

[英].NET Framework, OIDC; How to properly authenticate a user in an authorization code based sign-in flow?

使用OAuth 2.0授權代碼流識別瀏覽器（用戶代理）會話

[英]Identifying browser (User agent) session with OAuth 2.0 Authorization Code Flow

無需用戶干預即可進行 OAuth 2 授權代碼授予/流程

[英]Make OAuth 2 Authorization Code Grant/Flow without user intervention

Oauth 授權碼流是否會生成服務主體登錄事件？

[英]Does Oauth Authorization Code flow generates a service principal sign in event?

使用 PKCE 的授權代碼流如何比沒有 client_secret 的授權代碼流更安全

[英]How can Authorization Code Flow with PKCE be more secure than Authorization Code Flow without client_secret

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 為什么可以將授權代碼流的狀態參數存儲在 cookie 中？如何在使用授權代碼流時讓用戶保持用戶登錄 RingCentral？在 OpenID Connect with PKCE 中，客戶端如何知道用戶重定向后使用哪個 code_verifier 發送哪個授權碼？授權代碼流還是將oauth用戶與內部用戶匹配的隱式？ spotipy授權代碼流程 .NET 框架，OIDC；如何在基於授權碼的登錄流程中正確驗證用戶身份？使用OAuth 2.0授權代碼流識別瀏覽器（用戶代理）會話無需用戶干預即可進行 OAuth 2 授權代碼授予/流程 Oauth 授權碼流是否會生成服務主體登錄事件？使用 PKCE 的授權代碼流如何比沒有 client_secret 的授權代碼流更安全

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM