为什么OAuth v2同时有访问令牌和刷新令牌?
OAuth 2.0协议草案的第4.2节指出,授权服务器可以返回一个access_token(用于认证资源),以及一个refresh_token,后者仅用于创建新的access_token: https://www.rfc-editor.org/rfc/rfc6749#section-4.2 为...
OAuth 2与OAuth 1有何不同?
简单来说,OAuth 2和OAuth 1有什么区别? 现在OAuth 1已经过时了吗?我们应该实施OAuth 2吗?我没有看到太多的OAuth 2实现;大多数人仍在使用OAuth 1,这让我怀疑OAuth 2是否可以使用。那它可用吗?
谷歌OAuth 2授权-错误:redirect_uri_mismatch
我在https://code.google.com/apis/console网站上注册了我的应用程序,设置了生成的客户端ID和客户端密钥到我的应用程序中,并尝试使用Google登录。不幸的是,我收到了以下错误消息:Error: redirect_uri_mismatch The redirec...
JWT和OAuth认证之间的主要区别是什么?
我有一个新的SPA,使用无状态身份验证模型来使用JWT。常常被要求引用OAuth进行身份验证流程,比如让我发送"Bearer tokens"来代替简单的令牌头,但我认为OAuth比基于简单JWT进行身份验证复杂得多。主要区别是什么?我是否应该使JWT身份验证行为像OAuth? 我还将JWT用作...
OAuth 2如何使用安全令牌来防御重放攻击?
据我理解,在OAuth 2中,为了使站点A能够从站点B访问用户的信息,以下事件链将会发生: 站点A在站点B上注册,并获得一个密钥和一个标识符。 当用户告诉站点A要访问站点B时,用户被发送到站点B,并告诉站点B他们确实想授予站点A对特定信息的权限。 站点B将用户重定向回站点A,同时附带一个授...
为什么OAuth2中有“授权码”流程,而“隐式”流程已经运作良好?
使用“隐式”流程,客户端(可能是浏览器)将在资源所有者(即用户)授权后获得访问令牌。 然而,“授权码”流程中,客户端(通常是Web服务器)只会在资源所有者(即用户)授权后获取授权码。 客户端随后使用该授权码调用API,并将client_id、client_secret和授权码一起传递以获取访...
JWT 刷新令牌流程
我正在构建一个移动应用程序,并使用JWT进行身份验证。 似乎最好的方法是将JWT访问令牌与刷新令牌配对,以便我可以随意地频繁过期访问令牌。 刷新令牌是什么样子的?它是一个随机字符串吗?那个字符串是否被加密?它是另一个JWT吗? 在这种情况下,刷新令牌应该存储在用户模型上的数据库中,是吗?...
OAuth 2.0:好处和应用场景 - 为什么?
有人能解释一下OAuth2的好处以及为什么我们应该实施它吗?我之所以问是因为我对此有些困惑,以下是我的当前想法: OAuth1(更确切地说是HMAC)请求似乎逻辑清晰、易于理解和开发,并且非常安全。 反之,OAuth2引入了授权请求、访问令牌和刷新令牌,你必须在会话开始时进行3次请求才能获...
OAuth 2中隐式授权类型的目的是什么?
我不知道是否只是我有某种盲点,但我已经多次阅读了OAuth 2规范并查看了邮件列表归档,但我尚未找到一个好的解释为什么开发了Implicit Grant flow以获取访问令牌。与Authorization Code Grant相比,它似乎只是放弃了客户端身份验证,没有非常引人注目的原因。这个...
“刷新令牌”的目的是什么?
我有一个与YouTube直播API集成的程序。它运行定时器,因此相对容易编程,在50分钟内获取新的Access Token和Refresh Token。我的问题是,为什么这样做? 当我通过YouTube进行身份验证时,它提供了一个Refresh Token。然后,我使用该Refresh To...