仅使用JavaSpring从服务器(Facebook和Google访问令牌)进行身份验证
我只想验证从javascript获得的用户访问令牌。
我正在使用SpringRest服务。
我看到了这一点:https://developers.google.com/identity/sign-in/web/server-side-flow然而,我正试图找到facebook和谷歌的确切代码。
有人有任何代码片段来分享或指导任何github吗?包括依赖关系,因为它们也会产生一些冲突。
如果有人从不同应用程序的个人facebook登录结构中找到此访问令牌(假设第三方网站也有facebook登录),并使用相同的令牌进入我的服务(将该令牌从该第三方服务发送到我的服务api),我可以做些什么来验证此用户访问令牌是否确实从我的应用程序收到自己的登录系统?因为有了这两个http GET,就没有秘密api密钥或任何东西。谢谢
共有1个答案
例如,从这个googleapis html
观众"1058748273114-6srsjvvag80n2kk6mc3v6fv2i3jdlm.apps.googleusercontent.com"
显示确切的应用程序ID信息。这样我可以验证这个ID是否匹配我自己的个人应用程序ID。这样我至少可以为谷歌验证
https://graph.facebook.com/v2.10/me?fields=id,名字
-
在JWT配置中,我不想做任何花哨的事情,只是想让它暂时通过: 我得到以下异常: 我对此的理解是:看起来,当Google发布访问令牌时,授权服务器(作为Google OAuth的客户机)试图将访问令牌解码为JWT,并抛出异常,因为Google的令牌不是有效的JWT(它只是一个访问令牌)。
-
GoogleCredential凭证=newGoogleCredential.Builder(). setTransfer(TRANSPORT). setJsonFactory(JSON_FACTORY). setServiceAccount tId("SOMETHING@developer.gserviceaccount.com"). setServiceAccount tScopes(Bigq
-
我试图弄清楚我应该如何坚持身份验证。 假设用户使用电子邮件和密码成功进行身份验证。然后服务器生成并返回两个令牌: accesstoken(jwt过期15分钟)将存储在浏览器存储中 refreshtoken(jwt过期7天)作为安全cookie 当将访问令牌存储在本地存储(或会话存储)中时,React 应用程序将简单地检查它是否存在于存储中并继续渲染私有路由。因此,这意味着如果用户有一个无效/被盗的
-
我们使用应用服务身份验证来保护网络 API,并使用 Google 作为身份验证提供程序。当我们从浏览器触发请求时(当会话信息在cookie中时),它按预期工作 IIS日志: 2016-05-29T13:51:19 PID[3600]详细接收请求:GEThttps://XXXXXX.azurewebsites.net/api/user2016-05-29T13:51:19 PID[3600]详细找到
-
我正在做一个项目(没有生产级别,只是为了提高我的技能),我正在使用JWT来处理身份验证。从我所读到的内容来看,仅使用JWT作为访问令牌是非常不安全的,因此我们需要刷新令牌。因此,在登录时,服务器返回一个访问令牌和一个刷新令牌(我将存储在httpOnly cookie中)。访问令牌在短时间内到期,但刷新令牌在到期时用于获取新令牌。 我的问题是,我们何时使用刷新令牌来获取新的访问令牌?是当用户想要获得
-
致命:“https://github.com/scuzzlebuzzle/ol3-1.git/'”身份验证失败