IAM系统中的API令牌功能
在身份和访问管理系统中,“API-Token”功能通常是如何实现的?用户可以在他们的自助服务中心生成API-Token,也许可以限制这些令牌,然后使用它们代替他们的帐户凭据进行2M通信。(我不是在说OAuth2access_token或refresh_token)
看起来OAuth 2客户端凭据流非常适合这一点,但是客户端凭据授予访问令牌可以映射到用户吗?建议这可以称为不良做法。我还没有找到提供与用户绑定的客户端凭据的IAM-Products。
提前感谢您对如何实现这一功能或产品的任何输入!
共有1个答案
由于没有找到现成的解决方案,我在这里发布了我关于使用Keycloak自我实现它的未完成的想法(虽然不强迫你使用Keycloak,但是开源很好,因为你需要修改/扩展IAM系统)。
想法:从某种意义上说,OAuth 2客户端凭据流似乎是完美的。用户应用程序将client_credentials与短期access_token交换,使用这些access_token来访问API。在到期之前,应用程序可以以相同的方式请求新的access_token。
可以为每个API-Token生成服务帐户,并且它们可以以某种方式链接到用户。或者可以将client_credentials添加到现有用户的用户凭证存储中。无论哪种方式,都需要一些自定义的键盘锁扩展。
问题:为应用程序登录生成的令牌本身被喜欢为azp,而不是例如我们的论坛,... 。这将使正常的授权流不可用。此外,对于服务帐户,/userinfo-Endpoint 似乎几乎未填充。
解决方案思想:您必须以某种方式将azp分配给服务 -
- 在client_id验证期间从请求参数中获取它
- 将其与令牌一起存储
根据 Stack Overflow(以及版本 15.0.2 的自身测试),您可以为服务帐户分配一个硬编码的协议映射器,其中 azp 作为密钥,以及要将令牌用作值的应用 ID。但是,我想知道这是否打算作为一项功能,以及这是多么面向未来。这还将填充 /userinfo 终结点。
-
我在用阿斯匹林。网络应用程序 我很困惑。我已经使用JSON网络令牌。我明白这一点。已知经典的 JSON 网络令牌。标头、有效负载、签名、自包含。客户端可以查看索赔数据。 但是不记名令牌是什么呢?不记名令牌也是独立的。我们可以通过不记名令牌访问令牌的数据。客户端看不到索赔数据。 那我们为什么不使用不记名令牌呢?不记名代币不是标准吗?有没有像 JWT 持有者令牌这样的东西? 以及如何在 MVC Web
-
返回三个字段作为颁发的临时安全凭据。 AWS访问密钥ID 前两个字段的格式与用户的访问密钥相同,但第三个字段AWS_SESSION_TOKEN是临时凭证的专用字段。 我有两个问题: 如果AWS_会话_令牌表示/编码临时有效性,为什么我们仍然需要前两个字段(因为过期后,我们仍然需要另一个AWS_会话_令牌)?
-
问题内容: 我正在寻找一种更好的方法来解决我的问题。我在登录表单上记得我的功能。用户单击“记住我”框,“我的API”向我发送令牌。 我的问题是,当用户返回我的网站时,存储此令牌并再次对其进行身份验证的最佳方法是什么? 我以为 创建一个Cookie并在其中存储令牌。 创建本地存储。 请给我任何可能对我有帮助的建议。 问题答案: 我将document.cookie与这样的工厂代码一起使用: 创建一个c
-
本文向大家介绍Mac OSX系统 Docker启用Docker远程API功能,包括了Mac OSX系统 Docker启用Docker远程API功能的使用技巧和注意事项,需要的朋友参考一下 在Mac OSX系统的Docker机上启用Docker远程API功能 Docker守护进程提供了一套远程REST API,具体可以参考文档: https://docs.docker.com/engine/refe
-
问题内容: 我正在尝试制作一个小的Java程序来执行系统命令,但似乎无法弄清楚 问题是如何使用Java执行系统命令? 更新:我阅读了文档并尝试了一些示例,但仍然无法弄清。为什么不能像C中那样简单 问题答案: 您可能需要查看的文档。这里给出一个例子。