من می خواهم یک API را طراحی کنم که یک سازمان برای ارتباط با سرور من استفاده می کند. برای یک برنامه سرور مشتری ، تأیید هویت ساده مبتنی بر jwt با تأیید اعتبار کاربر و ایجاد نشانه ای برای آنها انجام می شود. سوال من این است که فرآیند احراز هویت یک سیستم دیگر…
oauth – به نظر می رسد "هویت متقابل مشتری" Google ناامن است
از سند هویت متقابل مشتری Google: نشانه های دسترسی متقابل مشتری […] نتیجه این است که اگر یک برنامه Android برای یک دامنه خاص درخواست یک نشانه دسترسی داشته باشد ، و کاربر درخواست کننده قبلاً نیز به وب تأیید کرده است. برنامه در همان پروژه برای همان دامنه ، از کاربر دیگر خواسته نخواهد…
oauth – آیا استفاده از فقط نشانه دسترسی امن است؟
من برای تأیید اعتبار کاربران برای برنامه های تلفن همراه و وب خود در همان API از JWT استفاده می کنم. گذرنامه :: refreshTokensExpireIn (اکنون () -> addHours (1))؛ هنگامی که یک کاربر وارد تأیید اعتبار (نام کاربری و رمز عبور) می شود دسترسی به نشانه دسترسی (سمت مشتری) ذخیره می کند ، در حالی…
احراز هویت – برنامه بومی OAuth بدون تغییر مسیر محلی است
بخش 4.1 RFC 8252 جریان مجوز OAuth را برای برنامه های بومی با استفاده از مرورگر توصیف می کند (یعنی عامل کاربر خارجی). در این جریان ، برنامه بومی کد تنظیم را در مرحله 4 با تنظیم URI جهت هدایت به IP loopback دریافت می کند. البته این امر به برنامه بومی نیاز دارد تا…
oauth2 – کنترل دسترسی شخصی با استفاده از OAuth 2.0
من در حال طراحی یک برنامه نظارت بر زیرساخت های سازمانی هستم که نیازهای کنترل دسترسی را بیش از نقش ها و مقامات ارائه داده است. این معماری شامل چندین گره از REST API است که متعادل هستند ، یک مشتری زاویه ای و یک سرور مجوز مبتنی بر OAuth 2.0 با استفاده از JWT.…