タグ付けされた質問 「oauth」

YouTube Live StreamingAPIと統合するプログラムがあります。タイマーで実行されるため、更新トークンを使用して50分ごとに新しいアクセストークンをフェッチするようにプログラムするのは比較的簡単でした。私の質問は、なぜですか？ YouTubeで認証すると、更新トークンが提供されました。次に、この更新トークンを使用して、約1時間に1回新しいアクセストークンを取得します。更新トークンを持っている場合、有効期限が切れることはないため、常にこれを使用して新しいアクセストークンを取得できます。したがって、最初からアクセストークンを提供し、リフレッシュトークンシステム全体を気にしないこと以上に、これがどのように安全であるかはわかりません。

107 authentication  oauth  youtube-api  access-token  refresh-token 

Basic、Digest、OAuth2.0、JWT、Bearer Tokenのような承認について何かを学んでいます。 今、質問があります。 JWTはOAuth2.0標準でAccess_Tokenとして使用されています。JWTはRFC 7519にあり、Bearer TokenはRFC 6750にあります。 たとえば、ベアラー： Authorization: Bearer <token> AJAXを使用してサーバーにトークンを送信するか、URLのクエリ文字列にトークンを追加していました。リクエストヘッダーに追加することでトークンを送信することもできます。それは、トークンをAuthorization Bearerヘッダーに追加する必要があることを意味しますか？ JWTとBearer Tokenの関係を教えてください。どうもありがとう。

105 oauth  token  jwt 

OAuth対応のアプリケーション、特にMendeley（http：// dev .mendeley.com）、明らかに3-legged OAuthを使用しています。 OAuthを使用するのは今回が初めてで、OAuthの使用を開始するのに非常に苦労しています。.NET OAuthライブラリまたはヘルパーをいくつか見つけましたが、必要以上に複雑に見えます。私がやりたいのは、Mendeley APIにRESTリクエストを発行して、応答を返すことができることです！ これまでのところ、私は試しました： DotNetOpenAuth http://github.com/bittercoder/DevDefined.OAuth http://oauth.googlecode.com/svn/code/csharp/ 最初の（DotNetOpenAuth）は、何時間も費やしてその方法を考え出せば、おそらく私が必要とすることを実行できるようです。2つ目と3つ目は、よくわかるように、Mendeleyが送り返している確認コードをサポートしていません-これについては間違っているかもしれませんが:) 私はMendeleyからコンシューマーキーとシークレットを取得しました。DotNetOpenAuthを使用して、ユーザーがアプリケーションに入力するための確認コードを提供するMendeleyページでブラウザーを起動することができました。しかし、この時点で私は迷子になり、それをアプリケーションに適切に提供する方法を理解できませんでした。 私はこれからどこから始めればよいかわからないことを認めたいと思っています（ただし、かなり急な学習曲線があるようです）。誰かが私を正しい方向に向けることができれば、感謝します！

103 .net  oauth  mendeley 

私は認証サーバーにOAuth 2.0 JWT access_tokenを実装する作業をしています。ただし、JWT audクレームとclient_idHTTPヘッダー値の違いは明確ではありません。彼らは同じですか？そうでない場合、2つの違いを説明できますか？ 私の疑いはaud、リソースサーバーclient_idを参照する必要があり、認証サーバーによって認識されるクライアントアプリケーションの1つを参照する必要があるということです（つまり、WebアプリまたはiOSアプリ）。 現在のケースでは、リソースサーバーはWebアプリクライアントでもあります。

103 oauth  oauth-2.0  jwt 

Google APIを介してユーザーのプロファイルから情報を取得することは可能ですか？可能であれば、どのAPIを使用すればよいですか？ 私はそのような情報に興味があります： ユーザープロファイルのURL（例：https : //profiles.google.com/115063121183536852887）。 性別（セックス）; プロフィール写真。 また、ユーザーのプロファイルから他の情報を取得すると便利です。

103 oauth  google-api  userinfo 

私はここで狂った薬を飲んでいるような気がします。通常、常に100万のライブラリとサンプルがあり、特定のタスクのためにウェブ上に浮かんでいます。ここで説明するように、JSON Webトークン（JWT）を使用して、Googleの「サービスアカウント」で認証を実装しようとしています。 ただし、PHP、Python、Javaのクライアントライブラリしかありません。Googleの認証の範囲外でJWTの例を検索しても、JWTの概念にはクリケットとドラフトしかありません。これは本当に新しく、おそらくGoogle独自のシステムですか？ 私が解釈することができた最も近いJavaサンプルは、かなり集中的で威圧的です。C＃には、少なくとも最初は何かできるものがあるはずです。これでどんな助けでも素晴らしいです！

101 c#  oauth  oauth-2.0  jwt 

私の質問に対する回答を見つけるためにGoogleとStackOverflowで検索しましたが、回答が見つかりません。 オフラインアクセス用にデータベースにaccess_tokenを保存し、列の長さを正しく指定したいのですが。 それが単なる数字なのか、それとも数字と文字列の混合なのかさえわかりません。

100 facebook  oauth 

SAMLとOAuthを使用したフェデレーションログインの違いは何ですか？企業がサードパーティのウェブアプリを使用したいが、シングルサインオンと認証機関にもなりたい場合、どちらのソリューションがより意味がありますか？

100 authentication  oauth  saml 

私がいることを実感OAuthの仕様は、特にトークン（ConsumerKey、ConsumerSecret、AccessToken、RequestToken、TokenSecret、または検証用コードの起源については何も指定しませんが、非常に安全なトークンを作成するための任意のベストプラクティスがある場合、私は好奇心が強いです/秘密の組み合わせ）。 私が見るように、トークンを作成するにはいくつかのアプローチがあります： ランダムなバイトを使用し、コンシューマー/ユーザーに関連付けられたDBに保存します 一部のユーザー/コンシューマー固有のデータをハッシュし、コンシューマー/ユーザーに関連付けられたDBに保存します ユーザー/消費者固有のデータを暗号化する （1）の利点は、データベースが最も安全と思われる唯一の情報源であることです。（2）や（3）よりも攻撃を行うのは難しいでしょう。 実際のデータ（2）をハッシュすると、おそらく既知のデータからトークンを再生成できます。とにかく保存/検索する必要があるので、（1）には実際には何の利点も提供しない可能性があります。（1）よりもCPUに負荷がかかります。 実際のデータを暗号化すると（3）、暗号化を解除して情報を知ることができます。これは、（1）と（2）よりも必要なストレージが少なく、検索数が少ない可能性がありますが、安全性も低くなる可能性があります。 考慮すべき他のアプローチ/利点/欠点はありますか？ 編集：別の考慮事項は、トークンに何らかのランダムな値が存在する必要があることです。これは、新しいトークンを期限切れにして再発行する機能が存在する必要があるため、実際のデータのみで構成されてはならないためです。 続く質問： 暗号的に非常に安全にするための最小トークン長はありますか？私が理解しているように、トークンシークレットが長いほど、より安全な署名が作成されます。この理解は正しいですか？ ハッシュの観点から、特定のエンコーディングを別のエンコーディングよりも使用する利点はありますか？たとえば、16進エンコーディング（GUID文字列など）を使用する多くのAPIが表示されます。OAuth署名アルゴリズムでは、トークンは文字列として使用されます。16進文字列を使用すると、Base64エンコーディングを使用する場合よりも、使用可能な文字セットがはるかに小さくなります（予測可能になります）。同じ長さの2つの文字列の場合、文字セットが大きい文字列ほど、ハッシュ分布が広くなります。これにより、セキュリティが向上すると思われます。この仮定は正しいですか？ OAuth仕様では、この問題が11.10 Entropy of Secretsで発生しています。

100 security  encryption  oauth  hash 

GoogleドライブAPIを使用するには、OAuth2.0を使用した認証を試す必要があります。そして私はこれについていくつか質問をしました。 クライアントIDとクライアントシークレットを使用して、アプリを特定します。ただし、クライアントアプリケーションの場合は、ハードコーディングする必要があります。したがって、誰でも私のアプリを逆コンパイルして、ソースコードから抽出できます。良いアプリのクライアントIDとシークレットを使用することで、悪いアプリが良いアプリのふりをすることができるということですか？それで、ユーザーは実際に悪いアプリから要求されたとしても、良いアプリに許可を与えることを求める画面を表示するでしょうか？はいの場合、どうすればよいですか？それとも私はこれについて心配する必要はありませんか？ モバイルアプリケーションでは、アプリにウェブビューを埋め込むことができます。そして、許可を求めるアプリは実際には「ブラウザ」なので、webviewのパスワードフィールドを簡単に抽出できます。では、モバイルアプリケーションのOAuthには、クライアントアプリケーションがサービスプロバイダーのユーザー資格情報にアクセスできないという利点がないのでしょうか。

95 security  oauth  google-api  oauth-2.0 

OAuthの用語は、私を長い間悩ませてきました。OAuth認証は、一部の人が示唆しているようにですか、それとも認証ですか？ 私が間違っている場合は訂正してください。ただし、承認は誰かにリソースへのアクセスを許可する行為であると常に読んでいますが、OAuthには、特定のリソースへのユーザーへのアクセスを実際に許可する実装がないようです。すべてのOAuth実装は、ユーザーにトークン（署名され、場合によっては暗号化されたもの）を提供することについて話します。このトークンは、バックエンドサービスエンドポイントへのすべての呼び出しで渡され、そこで有効性がチェックされます。これもOAuthの問題ではありません。 私が取るOAuth認証（すべての記事はそうではないと言っています）は、ユーザーが資格情報を提供する必要があり、それはユーザーがアクセスできるべき/すべきでないことを証明しますか？ したがって、OAuthは他のプロセスによって実行される必要があるため、承認NOR認証ではないようです。それで、一体何ですか？トークンを伝達するためのプロセスですか？本当に意味のない綿毛の言葉ですか？ 謎めいた迷信（魔界村）に聞こえずにこのテーマについて質問するのは難しいので、この質問に答えるのも簡単なことではないと思います。ご自身の責任でご入場ください。

90 oauth  oauth-2.0 

安全なRESTful Webサービスを実装する必要があります。私はすでにGoogleを使用していくつかの調査を行いましたが、行き詰まっています。 オプション： TLS（HTTPS）+ HTTPベーシック（pc1oad1etter） HTTPダイジェスト two-legged OAuth Cookieベースのアプローチ クライアント証明書（Tom Ritterおよびここ） HMACと制限付きライフタイムを使用した署名付きリクエスト 検討すべきオプションは他にありますか？OAuthの場合、どのバージョンですか？それも重要ですか？これまで読んだことから、署名なしのベアラートークンを使用したOAuth 2.0は安全ではないようです。 RESTベースの認証に関する別の非常に興味深い記事を見つけました。 REST APIを保護する...正しい方法

88 web-services  security  rest  oauth  restful-authentication 

私はOAuthを初めて使用し、TwitterAPIで遊んでいます。にリクエストを送信することで、認証後にユーザーの資格情報を取得できますhttp://api.twitter.com/1/account/verify_credentials.xml。応答には、ユーザーID、画面名などが含まれますが、電子メールIDは含まれません。 ユーザーのメールIDを取得することは可能ですか？ 更新 特に拡張アクセス許可を要求した場合、Facebookがこの情報を提供すると思います。Twitterに似たものはありますか？

85 twitter  oauth  twitter-oauth 

OAUTH-v2がどのように機能するかを理解するのに問題があります。 OAuthのバージョン2の仕様は、読み取ります。 保護されたリソースへのアクセス クライアントは、アクセス トークンをリソースサーバーに提示することにより、保護されたリソースにアクセスします。リソースサーバーは、 アクセストークンを検証し、有効期限が切れていないこと、およびそのスコープが 要求されたリソースをカバーしていることを確認する必要があります。リソースサーバーが アクセストークン（およびエラー応答）を検証するために使用する方法は、この仕様の範囲を超えていますが、通常、リソースサーバーと承認 サーバー間の相互作用または調整が含まれます。 リソースサーバーと承認サーバー間のこの相互作用は実際にはどのように機能しますか？ リソースサーバーは、受信したアクセストークンが有効であるとどのように判断しますか？ リソースサーバーは、トークンから許可されたスコープをどのように抽出して、特定のリソースにアクセスを許可する必要があるかどうかを確認しますか？スコープはアクセストークンにエンコードされていますか、それともリソースサーバーは最初に承認サーバーに接続する必要がありますか？ リソースサーバーと承認サーバー間の信頼はどのように確立されますか？ アクセストークンの属性と保護されたリソースへのアクセスに使用されるメソッドは、この仕様の範囲を超えており、コンパニオン仕様によって定義されています。 誰かがトークン属性の例を挙げられますか？

81 web-services  oauth  authorization  oauth-2.0 

ポップアップ（window.open）を使用してReactにOAuthを実装する方法に興味があります。 たとえば、私は持っています： mysite.com —これがポップアップを開く場所です。 passport.mysite.com/oauth/authorize - 現れる。 主な質問は、window.open（ポップアップ）とwindow.opener（既知のように、クロスドメインセキュリティのためにwindow.openerがnullであるため、使用できないため）間の接続を作成する方法です。 ⇑ window.openerあなたは（セキュリティ上の理由のために）別のホストに移動したときに削除され、その周りに方法はありません。可能であれば、フレーム内で支払いを行うことが唯一のオプションです。最上位のドキュメントは同じホストにとどまる必要があります。 スキーム： 可能な解決策： ここでsetInterval説明されている方法を使用して、開いているウィンドウを確認します。 クロスストレージを使用する（それだけの価値はありません）。 では、2019年に推奨される最善のアプローチは何でしょうか？ Reactのラッパー-https ://github.com/Ramshackle-Jamathon/react-oauth-popup

12 javascript  reactjs  oauth  popup  authorization