OIDC:代碼流和隱式流的url差異
[英]OIDC : url differences in code flow and implicit flow
我是OIDC 。 我指的是在我的應用程序中使用OIDC視頻。 查看代碼流(響應類型:代碼)和隱式流(響應類型:Id_token)的 URL 我注意到一些奇怪的東西,在重定向 URL code中作為query parameter (后跟? )但id_token后跟# 。 同樣的事情也在我的應用程序中 ...
PKCE:當然,黑客仍然可以竊取訪問令牌?
[英]PKCE: Surely hacker can still steal access token?
據我了解,授權代碼流相對於隱式流的優勢在於,使用 ACF,訪問令牌被發送到服務器端應用程序而不是瀏覽器應用程序。 這使得訪問令牌更難竊取,因為訪問令牌永遠不會到達瀏覽器(因此不易受到跨站點腳本攻擊)。 我原以為PKCE會嘗試解決這個問題。 但事實並非如此。 訪問令牌仍會發送到瀏覽器。 因此它仍然可 ...
Java 中 OIDC 隱式代碼流的示例代碼
[英]Sample Code for OIDC Implicit Code Flow in Java
我是使用 OIDC 的隱式流的新手,我正在尋找示例代碼。 我在互聯網上找不到任何東西。 有人可以在任何地方提供示例代碼的鏈接。 非常感謝任何幫助。 ...
使用 Azure B2C 並使用 Apple / MSAL.JS / 隱式流登錄 - 獲取令牌靜默失敗並出現 X 幀拒絕錯誤
[英]Using Azure B2C and Sign in with Apple / MSAL.JS / Implicit Flow - Acquiring token silent failing with X-Frame Deny error
我目前正在使用 React 應用程序,該應用程序使用 MSAL.js 向我在 Azure B2C 中注冊的 Apple 身份提供程序進行身份驗證。 我的實現基於以下指南: Azure AD B2C 的“使用 Apple 登錄”的 GA 后重新訪問 除了訪問令牌請求之外,一切都在正常工作,我嘗試在登錄 ...
在 oidc-client 中驗證 state 和 nonce
[英]Validate state and nonce in oidc-client
我的理解是oidc-client生成 nonce 和 state 並將其發送到授權服務器(身份服務器 4)。 這用於防止CSRF攻擊,重放攻擊。 State 和 nonce 通過下面的 signinredirect() 示例發送 問題 1 - state 在回調后未定義 State添加到回調 U ...
隱式流在 Azure AD 中沒有正確反應
[英]Implicit Flow is not reacting properly in Azure AD
我有一個 React SPA,它調用一個節點 API,然后又調用另一個節點 API。 我配置了第一個 API 以允許 user1 具有訪問權限。 我將第二個 API 配置為只允許第一個 API 訪問它。 當 user1 單擊按鈕調用 api 時,使用以下代碼,我收到此錯誤: AADSTS70005 ...
Azure B2C 隱式流程:在不使用 iFrame 的情況下獲取新的訪問令牌
[英]Azure B2C implicit flow: acquire new access token witout the use of an iFrame
在 Azure B2C 文檔中,您了解有關在前一個訪問令牌過期時靜默獲取新訪問令牌的信息。 ID 令牌和訪問令牌都會在短時間后過期。 您的應用程序必須准備好定期刷新這些令牌。 要刷新任一類型的令牌,請執行我們在前面示例中使用的相同隱藏請求 iframe,通過使用 prompt=none 參數來控制 ...
更改已通過身份驗證的用戶的聲明?
[英]Changing Claims of an already authenticated User?
有什么方法可以將額外的參數傳遞給來自 oidc-client 的 signinsilent / 靜默刷新調用,基於這些參數我可以向訪問令牌添加額外的聲明? 基本上我們有資源服務器和授權服務器(身份服務器 4 設置),它處理身份管理和授權)。 我們的產品是 Angular 應用程序,我們使用訪問令牌 ...
使用 AAD 和 Azure Function 的 Easy Auth 隱式流返回未經授權
[英]Easy Auth Implicit Flow with AAD and Azure Function returns Unauthorized
API 復制品 I created a simple azure function app in azure portal and function with http binding. Function 只返回字符串“Hello from secure API”。 接下來在平台功能中,我選擇了 ...
Azure Web 應用程序 - Azure AD - SPA - response_type 中缺少“令牌”
[英]Azure Web App - Azure AD - SPA - `token` missing from response_type
我們正在使用 Azure Web 應用程序並使用 Web 應用程序的身份驗證來強制執行 Azure AD 身份驗證。 我們讓它有些工作,但正在嘗試獲取訪問令牌,因為我們正在使用它來鎖定 API 調用。 查看網絡調用,對 MSFT 端點的授權調用只有響應類型的“open_id 代碼”。 顯然,我可以將 ...
如何使用 iFrame 在隱式流中手動進行靜默刷新(使用 Identity Server 4、Angular 2+)
[英]How to do Silent Refresh manually in implicit flow using iFrame (using Identity Server 4, Angular 2+)
我正在嘗試使用帶有隱式流的 iFrame 進行靜默刷新。 我不想使用automaticSilentRenew,因為它效率不高。 我在客戶端的 Angular 8 中使用oidc-client庫。 所以,有兩件事正在發生: 1.) 我正在使用 auth-guard 來保護重要組件。 在 auth- ...
帶有 C# Windows 窗體的 OAuth2 隱式流
[英]OAuth2 Implicit Flow with C# Windows Forms
我正在開發需要使用隱式流(客戶端不接受其他流)進行身份驗證的 ac# windows 窗體應用程序。 根據要求,我需要打開默認系統瀏覽器進行身份驗證(因此應用程序上沒有嵌入式 Web 視圖) 我正在嘗試使用OidcClient C#和示例,但我無法讓它工作。 我得到的最接近的是使用Console ...
Google上的操作:隱式Oauth流,重定向失敗
[英]Actions On Google: Implicit Oauth Flow, redirect fails
按照以下說明,我為隱式流程實現了自己的Oauth服務器: https : //developers.google.com/actions/identity/oauth2? oauth = implicit 看起來很簡單,因為我只需要在檢查客戶端詳細信息后重定向令牌即可。 但是有問題出在哪 ...
MS Identity Azure 應用程序已注冊但在隱式流中發送未授權客戶端
[英]MS Identity Azure app registered but sends unauthorized_client in implicit flow
我已經在 Azure 中為 Microsoft Identity 平台注冊了一個應用程序。 我將其配置為允許 MS 帳戶(例如 outlook.com),並且基本上在此處和此處的一些在線快速入門中完成了所有操作(“向您的 Web 應用程序添加憑據”除外)。 我還選中了啟用隱式流的框。 我將我的 R ...
如何使用單頁應用程序和openid連接隱式流來撤銷訪問令牌?
[英]How to revoke access token with Single Page Application and openid connect implicit flow?
最近我寫了一個帶有openid connect的身份提供程序。 我公開了端點令牌和oauth流。 我知道在SPA的情況下我們不能提供刷新令牌來撤銷任何一個令牌。 所以我所做的是當我的訪問令牌過期時,我總是調用IDP服務器並刷新我的令牌,但我面臨的問題是身份驗證不是靜默放置在后台,因為有 ...
使用隱式流時重放攻擊
[英]Replay attacks when using the Implicit Flow
我有一個使用隱式流來授權用戶的React App。 流程如下:1.如果沒有訪問令牌或用戶信息保存在sessionStorage中-用戶將被重定向到登錄頁面。 2.用戶登錄並重定向到React App的主頁。 2.1。 重定向回首頁時,重定向URL已經具有access_token和id ...
沒有cookie的隱式流身份驗證是否可能?
[英]Is it possible to have Implicit flow authentication without cookies?
我正在分別使用ID Server 3/4的項目同時使用.NET Framework和.NET Core的項目(當然是分別使用),並且我已經意識到隱式流程及其對Javascript客戶端的工作方式。 我確實注意到它使用Cookie,並且我認為這就是為什么發生大量重定向等的原因。 但是事后看 ...
如果OAuth隱式流有效,則顯示頁面
[英]Show page if OAuth implicit flow is valid
因此,我通過維護其網站來為當地的體育俱樂部提供一些志願服務。 他們問我是否可以考慮使網站的“僅會員”部分成為會員,而只有通過登錄才能獲得該會員資格。 現在這是事情。 荷蘭有一項稱為“ sportlink”的服務,每個會員都必須擁有一個帳戶才能參與競爭,因此每個人都有一個。 他們有 ...
為Azure AD應用程序啟用OAuth 2.0隱式流功能
[英]Enable OAuth 2.0 implicit flow capability for the Azure AD application
我正在嘗試運行該應用程序,以進行有關在Outlook Web加載項中使用Microsoft Graph Rest API的研究。 我找到了此鏈接 。他們要求在安裝說明中為Azure AD應用程序啟用OAuth 2.0隱式流功能。 如果您能幫助我,我將不勝感激。 與使用Microsoft g ...
SPA調用WebAPI調用WebAPI
[英]SPA calling a WebAPI calling a WebAPI
我正在構建一個SPA(javascript),它將調用WebAPI A(.net MVC API),然后又將調用(服務器端)WebAPI B(.net MVC API)。 這三個實體均受ADFS4(OAuth2)保護。 在我的工作流程中,我希望WebAPI A代表已登錄SPA的用戶調用W ...