客户端秘密+刷新spring oauth2中的访问令牌
$ curl client:secret@localhost:8080/oauth/token -d grant_type=password -d username=user -d password=pwd
下一个问题是如何刷新获得的访问令牌?
我试图使用下面的命令这样做,但我得到了“访问此资源需要完全身份验证”。在我获得新的刷新令牌后,我可以使用刷新令牌再次刷新我的新访问令牌吗?
curl -v --data "grant_type=refresh_token&client_id=acme&client_secret=acmesecret&refresh_token=REFRESH_TOKEN" http://localhost:9999/uaa/oauth/token
谢谢。
共有1个答案
OAuth2.0规范允许所谓的公共客户机,即不对自己进行身份验证的客户机。因此,可以将资源所有者密码凭据授予公共客户端,即不需要发送客户端机密的客户端。这确实意味着授权服务器不能假定关于客户端的任何信息,因为client_id不是秘密,并且没有办法防止使用这种授权类型的恶意客户端或客户端相互模仿。因此,以这种方式使用它是以降低安全性为代价的,尽管有人可能会辩称,在您的情况下,无论如何都无法使用机密客户端,所以没有区别。
一般来说,资源所有者密码凭据授予对于OAuth来说是一种反模式,只用于迁移目的,因为它本身就违背了OAuth的大部分目标。
访问令牌是在每个客户端的基础上发出的。
-
我想知道如何使用混合流刷新IdentityServer4客户端中的访问令牌,它是使用ASP构建的。NET核心MVC。 如果我正确理解了整个概念,客户端首先需要拥有“离线访问”范围,以便能够使用刷新令牌,这是启用短期访问令牌的最佳实践,并且能够撤销刷新令牌,防止向客户端颁发任何新的访问令牌。 我成功地获得了一个访问令牌和一个刷新令牌,但是我应该如何处理MVC客户端中访问令牌的实际更新过程呢? Ope
-
引用的员额: 为什么OAuth v2既有访问令牌又有刷新令牌? 刷新令牌有什么意义?
-
我正在开发一个angularjs网络应用。 要访问服务器端api,我需要添加一个id_token头,并通过使用接收id_token。 问题的关键是——id_token有一个过期日期。在访问服务器应用编程接口之前,我需要确保id_token还没有过期,但是如果是,显而易见的选择是刷新它。 有没有办法刷新id_令牌? 我知道我可以将访问类型更改为脱机,并接收刷新令牌,但请求脱机访问似乎很奇怪,而在我的
-
我正在使用Haughin的Twitter Codeigniter API使用twitter登录。现在我需要能够代表用户发布推文。问题是,我首先需要找到并获取用户的访问令牌和用户的秘密,并将它们存储在我的数据库中以备后用。一旦我连接到twitter,我在哪里找到这些? 谢谢
-
本文向大家介绍oauth 刷新访问令牌,包括了oauth 刷新访问令牌的使用技巧和注意事项,需要的朋友参考一下 示例 资源