问题标签 [auth-token]

我正在开发一个客户端-服务器应用程序，它需要访问服务器上的一些数据库（比如http://www.someserver.com/之类的东西）。

如何使用手机上现有的 Google 帐户从 Android 手机授权服务器上的用户？

我在考虑 AccountManager 和 AccountManager.getAuthToken()，但我找不到如何将它们用于指定任务的方法。

您好，我正在使用该代码在我的应用程序上检索身份验证令牌：

我确实收到了一个 authToken ！（虽然我没有输入clientID和clientSecret）==> accountManagerFuture = am.getAuthToken(accounts[accountref], SCOPE_CONTACTS_API, null, TestAuthActivity.this, NULL (HERE), null);，那个令牌有效吗？

编辑 2012 年 5 月 8 日：

这是我的新 PHP 脚本代码，它试图使用令牌来获取用户的 ID，但仍然从谷歌服务器获取“无效令牌”：

我得到的令牌是相同的 java android 代码，但这两行发生了变化：

这是我将令牌从我的 android 应用程序发送到我的 php 服务器的方式：

您好，我正在尝试从我的 php 服务器验证我使用 accountManager 创建的令牌，但我不断从我的 php 服务器上的 google 服务器收到错误“无效令牌”......这是代码：

所以我得到一个令牌然后我将它发送到我的 php 服务器：

我不断收到错误：401 无效令牌：S

有没有人有解决方案或好的样本（找不到与我想做的匹配的！）

我正在使用面向服务的架构开发具有分布式服务器的应用程序，这是我的系统架构的链接。这是一个 Rails 3 应用程序，我有 2 个内容处理服务器和 2 个应用程序服务器。所有用户上传（图像/视频）都进入内容处理服务器，所有网页都通过应用程序服务器提供服务。我正在使用 devise gem 进行身份验证，它是基于令牌的身份验证。与服务器的所有交互都是使用基于 HTTP 的 rest API 完成的。每个请求都会向服务器发送一个 auth_token，然后服务器通过检查数据库中的 auth_token 来验证它，并且一切正常，但我不确定以下事情 -

1. 由于每个请求都使用数据库进行验证，所以当他们的很多用户说 100 万时它不会使数据库服务器过载
2. 我考虑在登录期间使用会话来存储此 auth_token 并在每个请求上验证请求 auth_token，因为我使用多个服务器进行应用程序和内容处理，所以我需要在所有服务器上进行粘性会话或创建会话，我不这样做不想做。

他们是否可以通过其他方式进行基于令牌的身份验证，而无需在分布式服务器环境中对数据库服务器施加负载？

我正在开发一个 Android 应用程序，该应用程序要求获得查看我的 Google 个人资料和电子邮件的权限。我允许应用程序查看它，但我的 Google 帐户页面的“授权应用程序和网站”部分没有列出我的应用程序。有什么方法可以让我的应用程序显示出来，以便用户可以根据需要撤销访问权限。它主要用于测试，所以我可以强迫它一遍又一遍地征求我的许可，但是......

看起来应该是可能的，因为我的应用程序的 iOS 版本可以做到这一点，而其他一些 Android 应用程序也可以做到。我只是找不到任何关于如何让我的应用程序显示它使用的信息的文档。

操作系统是启用了 UAC 的 Windows 7 或更高版本。调用过程具有管理员权限，已由 UAC 框确认。

我想在用户 SYSTEM 下生成一个新的控制台窗口（cmd.exe）（不要问为什么）。我可以使用 Sysinternals 的 PsExec 工具或类似工具以交互方式执行此操作，但我没有源代码，我需要了解它是如何工作的。

我知道我必须调用 CreateProcessAsUser() 并且在第一个参数 (hToken) 设置为 NULL 时可以正常工作，但现在我需要知道如何获取 hToken。我知道我可以通过调用 LogonUser() 来获得这样的令牌 - 但不能用于 SYSTEM。我将如何获得 SYSTEM 的令牌？

我想过使用 DuplicateTokenEx()，但这需要一个我没有的原始令牌。

我是否必须查询进程列表，找到任何 SYSTEM 进程并尝试复制该令牌或其他什么？我不想对 PsExec 工具或其他这样做的工具之一进行反向工程。

我正在尝试使用 Android 帐户管理器来创建我的应用程序自己的帐户，因此我研究了 SDK 中提供的示例。但是，我在理解如何管理服务器上的身份验证令牌时遇到了一点问题。

根据我在研究示例和阅读一些教程时的理解是，用户在首次登录时必须提供他的登录名和密码。然后客户经理将向我的服务器询问与用户凭据关联的令牌。此令牌将作为密码存储在 Android 设备上的帐户中（因此真正的密码永远不会存储在设备上）。

因为令牌会定期过期，所以我知道我的服务器必须能够生成带有登录名和过期令牌的新令牌。那是对的吗？如何从旧令牌生成新令牌？

此外，令牌的结构应该是什么？我如何生成它？过期时间是否存储在令牌本身或我的服务器上？

编辑：如果有人有一个简单的工作示例向我展示，那将对我很有帮助。另外，如果您有以下答案以外的其他信息，请发布，因为 Amokrane Chentir 的回答对我没有帮助。 实际上，调用AccountManager#getAuthToken()会导致调用getAuthToken()我必须在AbstractAccountAuthenticator的子类中实现的方法。

EDIT2：5个月后，我仍然对这个问题的解决方案感兴趣:)

嗨，我正在查看flask-login，它很好地处理了会话登录，这对于我可以访问会话的模板和视图很有用。

不过，我一直在想知道是否有办法可以发送 user_token 来授权通话。我查看了文档，对此非常模糊。它说我应该

• 在我的用户对象中实现 get_auth_token。
• 装饰一个可以加载用户令牌库的@user_loader 函数。

我虽然看过以下内容（如果我错了，请纠正我）

• 存储身份验证令牌的 Cookie 库有一种方法，我可以决定将令牌作为参数、正文或标头的一部分发送，而不必从 cookie 中获取它。
• 我不太确定如何使用身份验证令牌对呼叫进行身份验证。

我需要从一个 android 应用程序中获取一个 oauth 令牌，这将允许我连接到我的 appengine 应用程序以及能够从用户的帐户发送电子邮件。我遇到的问题是，由于某种原因，实际上没有任何关于可用的身份验证令牌范围的好的文档。

根据我的发现，您可以使用空格分隔符连接身份验证令牌，但我没有运气。 accountManager.getAuthToken(account, "oauth2:https://mail.google.com/", null, activity, new AuthTokenCallback(), null); 可以很好地获取电子邮件令牌。

同样 accountManager.getAuthToken(account, "ah", null, activity, new AuthTokenCallback(), null); 适用于应用引擎令牌。

但是 accountManager.getAuthToken(account, "oauth2:https://mail.google.com/ ah", null, activity, new AuthTokenCallback(), null); 让我陷入错误

Couldn't sign in, There was a problem communicating with Google servers Try again later

我怎样才能让这两者像良好的小型 Google 服务一样协同工作？

我想为我的帐户创建一个身份验证令牌。我创建自己的帐户类型，并将我的帐户添加到我创建应用程序的设备中，该应用程序使帐户成为我的帐户类型。我创建了另一个应用程序，为设备帐户创建身份验证令牌。

但是这种方法我创建了一个谷歌帐户的令牌。我应该写什么而不是“邮件”来为我的帐户类型创建令牌？