タグ付けされた質問 「access-token」

14
OAuth v2にアクセストークンと更新トークンの両方があるのはなぜですか?
ドラフトOAuth 2.0プロトコルのセクション4.2は、承認サーバーがaccess_token(リソースで自分自身を認証するために使用される)と、refresh_token単にを作成するためだけに使用されるを返すことができることを示していますaccess_token: https://tools.ietf.org/html/rfc6749#section-4.2 なぜ両方あるの?持っていないaccess_token限り、最後だけを作ってみませんか?refresh_tokenrefresh_token

14
Google OAuth更新トークンを受け取っていない
Googleからアクセストークンを取得したい。 Google APIによると、アクセストークンを取得するには、コードとその他のパラメーターをトークン生成ページに送信すると、応答は次のようなJSONオブジェクトになります。 { "access_token" : "ya29.AHES6ZTtm7SuokEB-RGtbBty9IIlNiP9-eNMMQKtXdMP3sfjL1Fc", "token_type" : "Bearer", "expires_in" : 3600, "refresh_token" : "1/HKSmLFXzqP0leUihZp2xUt3-5wkU7Gmu2Os_eBnzw74" } ただし、更新トークンを受け取っていません。私の場合の応答は: { "access_token" : "ya29.sddsdsdsdsds_h9v_nF0IR7XcwDK8XFB2EbvtxmgvB-4oZ8oU", "token_type" : "Bearer", "expires_in" : 3600 }

4
JWTが盗まれた場合はどうなりますか?
RESTful APIのステートレス認証をJWTで実装しようとしています。 AFAIK、JWTは基本的に、REST呼び出し中にHTTPヘッダーとして渡される暗号化された文字列です。 しかし、リクエストを見てトークンを盗む盗聴者がいる場合はどうでしょうか?それから彼は私のアイデンティティでリクエストを偽ることができますか? 実際、この問題はすべてのトークンベースの認証に当てはまります。 それを防ぐ方法は?HTTPSのような安全なチャネル?

4
ASP.NET Coreでのトークンベースの認証
ASP.NET Coreアプリケーションを使用しています。トークンベースの認証を実装しようとしていますが、新しいセキュリティシステムを使用する方法がわかりません。私は例を試してみましたが、彼らは私をあまり助けませんでした、彼らはクッキー認証または外部認証(GitHub、Microsoft、Twitter)のどちらかを使用しています。 私のシナリオは何ですか:angularjsアプリケーションは、/tokenユーザー名とパスワードを渡すURLを要求する必要があります。WebApiはユーザーを承認しaccess_token、次のリクエストでangularjsアプリが使用するものを返す必要があります。 ASP.NETの現在のバージョン-ASP.NET Web API 2、Owin、およびIdentityを使用したトークンベースの認証に必要なものを正確に実装することに関する優れた記事を見つけました。しかし、ASP.NET Coreで同じことをする方法は私には明らかではありません。 私の質問は、ASP.NET Core WebApiアプリケーションをトークンベースの認証で動作するように構成する方法ですか。

9
Axiosで無記名トークンを送信する
私の反応アプリでは、axiosを使用してREST apiリクエストを実行しています。 ただし、リクエストとともにAuthorizationヘッダーを送信することはできません。 これが私のコードです: tokenPayload() { let config = { headers: { 'Authorization': 'Bearer ' + validToken() } } Axios.post( 'http://localhost:8000/api/v1/get_token_payloads', config ) .then( ( response ) => { console.log( response ) } ) .catch() } ここでは、validToken()メソッドは単純にブラウザストレージからトークンを返します。 すべてのリクエストには、500エラー応答があり、 リクエストからトークンを解析できませんでした バックエンドから。 各リクエストで認証ヘッダーを送信する方法は?反応する他のモジュールをお勧めしますか?

3
ページのFacebookアクセストークン
私はそれから何かを得たいFacebookページを持っています。最初のものはフィードであり、私が読んだものからはパブリックです(access_tokenは必要ありません)。しかし、私はイベントも取得したいのですが...それらはパブリックではなく、access_tokenが必要です。 ユーザーにFacebookなどにログインしてほしくありません。この唯一のページからすべてのデータをプッシュしたいだけです。ここで見つけた多くの例とhttps://developers.facebook.com/blog/post/500/にある例をすでに破棄しているのはそのためです。彼らはユーザーにログインを求めているか、私が興味を持たないユーザーアクションを要求しているからです。 私が欲しいのは、私のFacebookアプリケーションに、私が所有しているこの1つのFacebookページ(管理者)からデータをプッシュするための完全な承認とaccess_tokenがあることです。これは可能ですか?私はすでに多くのことを試しましたが、何もうまくいかないようです。 私はこの時にクリックを試してみました:https://www.facebook.com/dialog/oauth?client_id=150635421702954&redirect_uri=http://MY_URL/&scope=manage_pages&response_type=token&fields=access_token -自分のサイトのにMY_URLを変更し、それがすべての編集に承認を要請します私が所有するページ。私がクリックしたいものではなくても、見返りにaccess_tokenがありませんでした...

7
基本的なHTTPおよびベアラートークン認証
現在、開発環境用にHTTP-Basicで保護されたREST-APIを開発しています。実際の認証はトークンを介して行われるので、2つの認証ヘッダーを送信する方法を理解しようとしています。 私はこれを試しました: curl -i http://dev.myapp.com/api/users \ -H "Authorization: Basic Ym9zY236Ym9zY28=" \ -H "Authorization: Bearer mytoken123" たとえば、IPのHTTP認証を無効にすることもできますが、通常は動的IPを使用してさまざまな環境で作業しているため、これは適切なソリューションではありません。だから私は何かが足りないのですか?


4
「リフレッシュトークン」の目的は何ですか?
YouTube Live StreamingAPIと統合するプログラムがあります。タイマーで実行されるため、更新トークンを使用して50分ごとに新しいアクセストークンをフェッチするようにプログラムするのは比較的簡単でした。私の質問は、なぜですか? YouTubeで認証すると、更新トークンが提供されました。次に、この更新トークンを使用して、約1時間に1回新しいアクセストークンを取得します。更新トークンを持っている場合、有効期限が切れることはないため、常にこれを使用して新しいアクセストークンを取得できます。したがって、最初からアクセストークンを提供し、リフレッシュトークンシステム全体を気にしないこと以上に、これがどのように安全であるかはわかりません。

17
Google APIクライアントでトークンを更新する方法は?
私はGoogle Analytics API(V3)で遊んでいて、somエラーに遭遇しました。まず、すべてが正しく設定され、私のテストアカウントで機能します。しかし、別のプロファイルID(同じGoogle Accont / GAアカウント)からデータを取得したい場合、403エラーが発生します。奇妙なことに、一部のGAアカウントのデータはデータを返し、他のアカウントはこのエラーを生成します。 トークンを取り消してもう一度認証したところ、すべてのアカウントからデータを取得できるようになりました。問題が解決しました?ない。アクセスキーの有効期限が切れると、同じ問題が再び発生します。 私が正しく理解していれば、resfreshTokenを使用して新しいauthenticationTookenを取得できます。 問題は、私が実行すると: $client->refreshToken(refresh_token_key) 次のエラーが返されます。 Error refreshing the OAuth2 token, message: '{ "error" : "invalid_grant" }' refreshTokenメソッドの背後にあるコードをチェックして、リクエストを「apiOAuth2.php」ファイルに追跡しました。すべてのパラメーターが正しく送信されます。grant_typeはメソッド内で 'refresh_token'にハードコーディングされているため、何が問題なのかを理解するのは困難です。パラメータ配列は次のようになります。 Array ( [client_id] => *******-uqgau8uo1l96bd09eurdub26c9ftr2io.apps.googleusercontent.com [client_secret] => ******** [refresh_token] => 1\/lov250YQTMCC9LRQbE6yMv-FiX_Offo79UXimV8kvwY [grant_type] => refresh_token ) 手順は以下の通りです。 $client = new apiClient(); $client->setClientId($config['oauth2_client_id']); $client->setClientSecret($config['oauth2_client_secret']); $client->setRedirectUri($config['oauth2_redirect_uri']); $client->setScopes('https://www.googleapis.com/auth/analytics.readonly'); $client->setState('offline'); $client->setAccessToken($config['token']); …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.