من در حال تهیه API و برنامه های مختلف برای دسترسی به آن هستم ، هرکدام دارای حوزه های مختلفی از جمله یک برنامه تلفن همراه بومی هستند ، و می دانم که یک استراتژی خوب برای تأیید اعتبار برنامه بومی خودم با API شخصی من چیست؟ یا به طور خاص کاربران من) من نمی…
oauth – احراز هویت برای سرور به api سرور
من می خواهم یک API را طراحی کنم که یک سازمان برای ارتباط با سرور من استفاده می کند. برای یک برنامه سرور مشتری ، تأیید هویت ساده مبتنی بر jwt با تأیید اعتبار کاربر و ایجاد نشانه ای برای آنها انجام می شود. سوال من این است که فرآیند احراز هویت یک سیستم دیگر…
احراز هویت – ترکیب محتوای کاربر در جریان-اعتبار-مشتری OAuth2 مشتری-2-ماشین
من یک API REST دارم که توسط 2 برنامه جداگانه استفاده می شود و در حال تأیید آنها توسط M2M OAuth2 Client Credential Client است. مورد دوم یک API REST است که در آن کاربران با OAuth2 Implicit Flow تأیید می کنند. اکنون باید متن کاربر را در API مشترک REST خود نیز قرار دهم…
oauth – به نظر می رسد "هویت متقابل مشتری" Google ناامن است
از سند هویت متقابل مشتری Google: نشانه های دسترسی متقابل مشتری […] نتیجه این است که اگر یک برنامه Android برای یک دامنه خاص درخواست یک نشانه دسترسی داشته باشد ، و کاربر درخواست کننده قبلاً نیز به وب تأیید کرده است. برنامه در همان پروژه برای همان دامنه ، از کاربر دیگر خواسته نخواهد…
oauth – آیا استفاده از فقط نشانه دسترسی امن است؟
من برای تأیید اعتبار کاربران برای برنامه های تلفن همراه و وب خود در همان API از JWT استفاده می کنم. گذرنامه :: refreshTokensExpireIn (اکنون () -> addHours (1))؛ هنگامی که یک کاربر وارد تأیید اعتبار (نام کاربری و رمز عبور) می شود دسترسی به نشانه دسترسی (سمت مشتری) ذخیره می کند ، در حالی…