问题标签 [api-authorization]

我想知道如何为 API 实现公钥私钥认证以及如何生成新的公钥私钥对并将它们存储在数据库中，以便在 API 命中时，我可以检索它们进行认证。如果我建议的方法有误，请纠正我，并请分享任何代码示例，以便我了解事情是如何工作的。

当我通过Azure AD 管理门户创建应用程序时，当我进入“应用程序注册”时，我可以管理多个 API（Graph、SharePoint Online、Skype for Business Online、Power BI、OneNote...）的授权

但是，当我使用Microsoft Application Registration Portal创建应用程序时，似乎只能添加Graph API授权（User.Read等）

是否可以使用Microsoft 应用程序注册门户来管理Graph以外的其他 API 的应用程序访问？

这是我第一次使用 Epicor 的 Prophet 21。在使用用户帐户进行身份验证后，我很难弄清楚如何在 HTTP 请求标头中传递令牌。

https://localhost:4443/api/security/token/?username= {USERNAME}&password={PASSWORD}

返回令牌，但我不确定请求标头应该设置为什么。我尝试过 Token、AccessToken 和一堆其他组合，但我总是收到这条消息：

这是我正在尝试的示例：

https://localhost:4443/api/inventory/v2/parts/

标题

我不会包含更多示例，但我尝试了各种组合。我还查看了非常没用的 SDK 文档。例如，这里是 JavaScript 代码示例，但它包含文档中没有的函数，所以我看不到它是如何构建请求的。

我基本上是在寻找一些关于构建标题的帮助，以便我可以发送令牌。我想使用 Laravel PHP 框架来做到这一点。

提前感谢您的时间和帮助。

我想在获取 Json 响应之前测试需要身份验证的 Rest API。例如。如果我想访问 rest API：那么如果我还没有登录，那么这会将我重定向到 Login HTML 页面，登录后，这将显示 Json 输出。

现在我想用 java 写一个放心的代码：我不知道，这是否可以使用这个来登录。

步骤： 第 1 步：当您向 API 发送请求时，这将重定向到登录 html 页面。第二步：在页面中输入用户名和密码。第3步：然后我们将能够看到响应。

我是逻辑应用程序的新手，正在尝试构建身份验证请求工作流以获取令牌以在后续请求中重复使用。

我要连接的 API 要求我首先使用初始请求正文中的用户名和密码登录。假设身份验证成功，它将在响应标头“授权”中返回一个令牌。

我在响应正文中收到一条成功的身份验证消息，但没有显示授权标头，我只能假设这是出于安全原因？

如果这是预期的行为，有人可以指点我如何获取身份验证令牌并将其安全地存储以供后续请求使用吗？

已发送请求：

收到的回复：

非常感谢。

奈杰尔

我正在尝试从 API 中提取 JSON 数据并努力确定问题的根源。目前，如果 message = "" 我得到准确的数据，但到目前为止，任何非空查询参数都会返回 403 错误。API 文档要求将参数格式化为“customerCode=XXX”，我已经能够在 API 沙箱中生成有效的查询。我认为问题出在 getSignature 函数的某个地方，但我已经用几种方法重写了它，并且 .encode() 或 bytes() 给了我相同的结果。如果代码看起来连贯，并且我的结果是语法错误，我可以联系支持团队。同样，当 message 是一个空字符串时，我会得到有效的结果，所以我很困惑。在每个页面测试多个不同查询参数的所有测试报告页面上都会发生错误。

我目前正在通过 OWIN 使用基于令牌的授权来防止我的 API 暴露给所有人。但是，这种方法存在一个缺陷。一旦用户获得令牌，他就可以访问我网站上的任何 API 并获取发布的任何参数的响应；这对我来说很危险。

现在，我需要授予对我的移动应用程序的 API 访问权限，但我想加强我的 API 的安全性，以便根据用户访问权限过滤请求。

用例： 我在用户登录时生成一个令牌，并将其附加到 API 的每个请求中。它工作得非常好，但是......生成的令牌可用于获取任何其他用户的详细信息。

我想要达到的目标： 我想防止上述情况发生。我想过滤来自/来自 API 的非法请求/响应。

我该怎么做？移动应用程序通常如何限制用户访问其 API。我很想知道它。请指导我。

我有一个 Laravel Web 应用程序，用于一家拥有自己用户群的餐厅。我有另一个用于书店的 Web 应用程序，它有自己不同的用户群。

我想创建第三个应用程序（主要是 API，可能使用 Lumen），它可以在每笔交易中从餐厅和书店创建会计记录（即当我卖任何食物时，向这个 API 发出 POST 请求插入一条记录，如果我卖一本书，也这样做）。

我如何保证只有来自我的 Web 应用程序的授权用户（任何用户）可以向我的 API 发出请求，而不要求他们提供任何额外的密码？

我是一名 android 开发人员，我正在尝试学习服务器端。我创建了一个带有 play 2 的服务器端应用程序，它提供了 RESTful api。我有一个 android 应用程序作为客户端。我知道如何通过在 SharedPreferences 中保存访问令牌来处理 android 中的会话。我想知道当用户登录时如何在服务器端创建这个访问令牌，并在服务器端正确处理它们超时和其他事情。我做了一些谷歌搜索，发现了 Oauth 1 和 2。但据我了解，它们用于授权 3rd 方登录（如 fb 或 google 登录）。请指出我正确的方向

我在 Stackoverflow 中发现了这个问题，但它似乎不是正确的方法

请容忍我并原谅我对后端世界完全陌生的任何错误。

我正在尝试运行以下代码来访问 REST API，此 REST API 使用鹰身份验证进行保护。我想在这里实现的是服务器将通过此 POST 请求返回 AppTicket，此 AppTicket 将用于后续 API 调用进行测试。但问题是我收到了错误的请求错误消息。我正在使用带有 java 的 jersey 客户端。

这是基于 RAML 的 API，它对 POST 调用的 RAML 定义如下，

属性 username: required (string - minLength: 3 - maxLength: 100) 组织提供的有效电子邮件地址

例子：

user@example.com 密码：必需（字符串） 示例：

s ngPa55w rd 指纹：（字符串）用于登录的设备的唯一标识符

fpData：（数组）用于计算指纹的参数列表

applnType：必需（Web 应用程序、Android 应用程序、iOS 应用程序之一）用户登录的应用程序类型

applnName：必需（Web APP AngularJS、Mobile Android、Mobile NativeScript 之一）

你能帮我找出这段代码中的问题吗？