问题标签 [auth-token]

由于这个谷歌指南，我能够接收 GCM 注册 ID（用于推送通知）并将 reg.id 存储在数据库中，并且无需身份验证一切正常。我使用 web api 2、oauth 2 身份验证和帐户管理器。

1）用户登录应用，App为用户创建一个账户。
- 或者如果存在帐户，则自动登录用户。
2) 应用程序获取身份验证令牌，如果过期则通过 Volley 字符串请求检索它
3) 应用程序检查帐户管理器的用户数据（如果注册）。之前收到的身份证。如果不是 App 请求注册。来自 GCM 的 id 并通过 Volley 将其发布到服务器（此处需要 AuthToken），并且 App 在该 reg 的帐户中设置了一个用户数据。id 已收到。

我的应用程序的上述流程目前只存在于我的脑海中，我有一些问题。

首先，我怎样才能首先获得身份验证令牌，然后根据Guide转到 IntentService 的第 3 步。

其次，假设我们设法完成了第一个问题。如果用户从不同的设备登录到他的帐户会发生什么？我应该更新他的注册吗？他的新设备的 ID。但是，如果这个设备是临时的，他回来使用他的永久设备怎么办？通知将发送到临时设备，因为这是他最后一次登录的设备！

我真的很困惑，并且会感谢任何照亮我的方式的人。谢谢。

编辑

是否可以在 AsyncTask 中同时获取授权令牌和注册 ID（令牌），而不是遵循 Google 的指南（而不是使用 IntentService）？

我有两个使用相同帐户类型的应用程序。我希望在用户第一次打开第二个应用程序并且存在一个帐户时显示以下页面：

但是当我运行这段代码时没有任何反应：

当我从具有身份验证器的应用程序运行上面的代码时，它可以正常工作。当我运行下面的代码时，系统会生成一个通知，当我点击它时，会出现上图。

单击允许按钮返回AuthToken正确。但是，我想在调用时查看授予权限页面（上图）getAuthToken，而不是通过单击通知。我怎样才能做到这一点？

我正在使用 AccountManager 在 Android 上保存我的应用程序帐户，并希望在设备上保存身份验证令牌。每次我登录并执行 addAccountExplicitly 时都会添加我的应用程序帐户，但 setAuthToken 不起作用，直到我再次登录并再次 setAuthToken 。下面是我添加帐户和设置 authToken 的代码

任何人都知道为什么我必须登录两次才能将我的 authToken 保存在 AccountManager 中？

来自https://stackoverflow.com/a/7209263/1225328：

刷新令牌的想法是，如果访问令牌被泄露，因为它是短暂的，攻击者有一个有限的窗口来滥用它。

我明白了，但是如果攻击者访问刷新令牌，他们将能够获得一个新的身份验证令牌，我错了吗？这似乎只是推迟了长期存在的令牌安全漏洞......

关于这一点，您会在相同的答案中找到：

刷新令牌，如果被泄露，将毫无用处，因为攻击者除了刷新令牌之外还需要客户端 ID 和密码才能获得访问令牌。

那么使用刷新令牌和简单地辞职有什么区别呢？如果您不希望用户再次重新输入它们，您如何存储客户端 ID 和密码？

正如@FStephenQ指出的那样，刷新令牌只能使用一次：然后攻击者将能够获得新的身份验证令牌，但只能使用一次，而且是短暂的。但是，一旦你已经使用了一个新的刷新令牌，你如何获得它呢？如果您在使用一个时获得了一个新的，那么攻击者也将能够刷新他们的令牌......

实际的问题是：如何让我的用户保持登录状态？在我使用的应用程序上，一旦我登录，我就不必再次登录：它们如何进行？

我正在开发一个无状态的 RESTful API，它将被 iOS 应用程序和 AngularJS 浏览器应用程序使用。在此 API 中，任何与经过身份验证的用户相关的操作（添加新内容、编辑详细信息等）都需要身份验证令牌。

现在，我的应用程序还要求未经身份验证的用户能够将商品添加到他们的购物车中。这是我不确定的地方。由于应用程序是无状态的，因此没有会​​话 - 如果用户尚未登录并获得访问令牌，我不确定如何识别用户。

我正在考虑的一种解决方案是生成其他一些较低级别的令牌，以识别这个未登录的用户。然后我可以在每个请求中发送这个来获取和修改购物车。

我正在开发一个使用基于令牌的身份验证系统的应用程序，用户提供他们的用户名/密码并收到一个令牌作为回报（令牌也保存到数据库中）。然后后续请求将包含此令牌作为自定义标头，我们可以使用它来识别用户。这一切都很好。

现在，如果用户 3 天没有登录，我们会过期令牌。我正在阅读一些关于 OAuth 中的刷新令牌的信息，我想知道是否可以以某种方式实现类似的东西。即在提供身份验证令牌时，我还提供了一个刷新令牌，以后可以使用它来请求新的身份验证令牌。不过，就安全性而言，这似乎与一开始就永远不会使用户的身份验证令牌过期非常相似。我是否应该发送带有刷新令牌的附加信息来验证用户？

是否可以使用 .Net Web API 的访问令牌作为我的客户端应用程序（Windows 桌面应用程序）的许可选项？

I have tried to get auth Access token using below code.and based on this code ,we will get Full transaction detail of Paypal. Below code is working fine in Lollipop and above, but when we run my app in lolipop below version then not getting any response from Paypal SDK.I did lot of R&D for this issue.Please give me solution of this. My Working Code in Lollipop and above:

Please give me solution for below lollipop.

我已经使用 SimpleSAMLphp 和 ADFS 配置了 SSO。当 store.type 是 phpsession 时它工作得很好，但是一旦我切换到 sql，我就开始得到状态信息丢失错误。回溯：2 /var/www/simplesamlphp/lib/SimpleSAML/Auth/State.php:263 (SimpleSAML_Auth_State::loadState) 1 /var/www/simplesamlphp/modules/saml/www/sp/saml2-acs.php:78 （要求）0 /var/www/simplesamlphp/www/module.php:137（不适用）

PHP 可以创建和编写 SQL 文件就好了。当期待 Simplesaml 日志文件时，我收到以下错误：

7 月 18 日 11:51:30 simplesamlphp 警告 [cbe4bc385b] AuthToken cookie 无效。

或者

7 月 13 日 15:57:16 simplesamlphp 警告 [7ef540ac02] 缺少 AuthToken cookie。

这可能是什么？为什么当 session store.type 是 phpsession 时它工作得很好，而当 store 类型是 sql 时它不起作用？

我尝试过 'session.cookie.domain' => '.example.org'，设置以确保它是我的域 'session.cookie.secure' => true 或 false 也没有任何区别。

我想知道是否有人发生过类似的事情？

我有内部 Web 应用程序，我必须使用 Jmeter 对其进行测试。该应用程序具有作为用户名、密码和身份验证令牌的安全保护。身份验证令牌随着每个新会话而变化。我无法通过安全令牌。令牌包含在 URL 中，看起来像

因此，只有当我在 URL 中提交当前令牌时，我的 Jmeter 才能成功运行。如果您有任何想法，请告诉我，如何避免每次都在所有地方（35）提交令牌。

[![在此处输入图像描述][1]][1]

我的 AUTH_TOKEN

正则表达式