1156得票23回答
OpenID和OAuth有什么区别?

我真的很想理解OpenID和OAuth之间的区别。也许它们是两个完全不同的东西吗?

830得票21回答
为什么OAuth v2同时有访问令牌和刷新令牌?

OAuth 2.0协议草案的第4.2节指出,授权服务器可以返回一个access_token(用于认证资源),以及一个refresh_token,后者仅用于创建新的access_token: https://www.rfc-editor.org/rfc/rfc6749#section-4.2 为...

825得票26回答
设置HttpClient的授权头部

我有一个HttpClient,用于访问REST API。但是我在设置Authorization头时遇到了问题。我需要将头设置为从OAuth请求中收到的令牌。我看到了一些.NET的代码,建议如下操作:httpClient.DefaultRequestHeaders.Authorization =...

666得票10回答
OAuth 2与OAuth 1有何不同?

简单来说,OAuth 2和OAuth 1有什么区别? 现在OAuth 1已经过时了吗?我们应该实施OAuth 2吗?我没有看到太多的OAuth 2实现;大多数人仍在使用OAuth 1,这让我怀疑OAuth 2是否可以使用。那它可用吗?

590得票9回答
JWT和OAuth认证之间的主要区别是什么?

我有一个新的SPA,使用无状态身份验证模型来使用JWT。常常被要求引用OAuth进行身份验证流程,比如让我发送"Bearer tokens"来代替简单的令牌头,但我认为OAuth比基于简单JWT进行身份验证复杂得多。主要区别是什么?我是否应该使JWT身份验证行为像OAuth? 我还将JWT用作...

406得票6回答
如何保护ASP.NET Web API的安全性

我想使用ASP.NET Web API构建一个RESTful Web服务,供第三方开发人员访问我的应用程序数据。 我已经阅读了很多关于OAuth的资料,它似乎成为标准,但是找到一个好的样例并附带解释它的工作原理(而且确实能够工作!)似乎非常困难(特别是对于OAuth新手来说)。 是否有一...

355得票8回答
为什么OAuth2中有“授权码”流程,而“隐式”流程已经运作良好?

使用“隐式”流程,客户端(可能是浏览器)将在资源所有者(即用户)授权后获得访问令牌。 然而,“授权码”流程中,客户端(通常是Web服务器)只会在资源所有者(即用户)授权后获取授权码。 客户端随后使用该授权码调用API,并将client_id、client_secret和授权码一起传递以获取访...

325得票31回答
Facebook OAuth“该URL的域名未包含在应用程序的域名中”

首先,我要说我已经搜索了相当长时间以寻找这个问题的答案... 我正在尝试设置Facebook OAuth与我的本地应用程序配合使用。在使用localhost时,Facebook授权一切正常,但是当我将其移动到另一个域名(仍在我的本地机器上)时,就会出现以下错误: 无法加载URL:此URL的域未...

295得票3回答
OAuth 2.0:好处和应用场景 - 为什么?

有人能解释一下OAuth2的好处以及为什么我们应该实施它吗?我之所以问是因为我对此有些困惑,以下是我的当前想法: OAuth1(更确切地说是HMAC)请求似乎逻辑清晰、易于理解和开发,并且非常安全。 反之,OAuth2引入了授权请求、访问令牌和刷新令牌,你必须在会话开始时进行3次请求才能获...

289得票13回答
OAuth 2中隐式授权类型的目的是什么?

我不知道是否只是我有某种盲点,但我已经多次阅读了OAuth 2规范并查看了邮件列表归档,但我尚未找到一个好的解释为什么开发了Implicit Grant flow以获取访问令牌。与Authorization Code Grant相比,它似乎只是放弃了客户端身份验证,没有非常引人注目的原因。这个...