问题标签 [auth0-lock]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
jwt - 在 Auth0 的 /userinfo api 端点中发送的不记名令牌是否会过期?
我们在 SPA 中使用隐式流设置了 Auth0 和他们的 Lock 小部件 v11。我们在 Auth0 管理门户的应用程序设置中将 JWT 过期时间设置为 15 分钟,并且我们在 Web 应用程序中使用静默身份验证来定期获取新令牌。
该流程运行良好,令牌应到期。我们的问题在于 userinfo 端点。Auth0 Lock 小部件在内部向 userinfo 端点发出 XHR 请求。在安全检查期间发现,如果我们记录了这样的请求,然后在几个小时后在 Postman 中再次请求,端点仍然会以用户详细信息(例如姓名和电子邮件)进行响应。在该请求中发送的不记名令牌与以 15 分钟到期时间发出的不记名令牌不同。
这对我们来说是一个安全问题,因为在用户选择退出后很长时间才能获得基本的用户信息。
在 Auth0 管理门户中,我尝试将租户设置 > 高级下的“不活动超时”/“需要登录后”设置为 1 分钟。我还尝试在应用程序设置下降低“JWT 过期”。这些设置都不会影响仍以用户详细信息响应的用户信息请求。
对 userinfo 端点的请求示例:
响应示例:
是否有任何设置可以控制发送到 userinfo 的不记名令牌的到期?它不应该与应用程序 JWT 过期设置具有相同的过期时间吗?
javascript - 在 Svelte App 中导入 Auth0-lock 时出错
我从苗条开始,更多的是后端开发人员而不是 javascript。我看到很少有人将 Auth0 与 svelte/sapper 一起使用,当我尝试导入 npmauth0-lock包时出现events not defined错误但如果我在 html 标头中链接 javascript 则没有错误,auth0-lock正确导入的方法是什么?
错误是在 main.js 中引发的,我只想添加:
Uncaught ReferenceError: events is not defined at main.js:8错误
ios - Auth0 获取未通过身份验证的元数据
我正在使用 Auth0 使用我的 ios 应用程序对我的用户进行身份验证,并且我一直在关注有关获取用户元数据的文档,但是当我尝试它时它不起作用。按照文档,这是我编写的方法:
身份验证视图控制器
会话管理器
这是我得到的错误:
---GETMETADATA--- 因未知错误而失败 ["error": Bad Request, "statusCode": 400, "message": Bad HTTP authentication header format, "errorCode": Bearer]
我知道通常您会使用 Bearer + accessToken 进行身份验证,但我没有看到他们在文档或示例项目中使用它。
reactjs - 在反应应用程序中初始化 Auth0 锁的位置
我正在Auth0 Lock 11我的反应应用程序中实施。该应用程序也在使用Redux和react-router-dom。
我正在尝试遵循此处的文档,但无法正确初始化Lock。我也对如何检查用户是否经过身份验证感到困惑。在我使用之前Lock v9,事情似乎更直观。
我试图实现的一般行为是这样的:
Public除组件外,所有应用程序都将受到保护- 如果用户尝试访问受保护的部分,我将
Redirect用户Public
这是我到目前为止所拥有的。这个文件是我保存所有Auth0代码的地方:
所以,这是我的问题:
- 我在哪里初始化
Lock?在App.js? - 如果用户未通过身份验证,他将被重定向到
Public组件。我如何访问该login()功能Public?我知道我可以简单地在组件中引用它,但是不会重新初始化Lock吗?
reactjs - React 应用程序中的 Auth0 Lock v11 未捕获“已验证”事件
我正在尝试Lock v11在React应用程序中实现,并且在用户登录后,即使我点击了事件侦听器并且事件类型为authenticated,也不会调用回调函数来处理令牌。
这是App.jsx我正在初始化Auth0 Lock和等待authenticated事件的地方。知道为什么我的听众不工作吗?为了进一步澄清,我将debuggers 放入代码中。成功用户登录后,我确实点击了第一个debugger,但没有点击第二个。
auth0 - Auth0 端点 API 的自定义实现?
有没有办法为端点 API 编写我自己的实现?例如,我可以编写自己的实现/dbconnections/change_password吗?
如果是这样,相关文档在哪里?我搜索并发现只有 Auth0 管理 API,我查看了规则,但我不知道是否可以使用自定义规则来覆盖忘记密码脚本的实现?
任何想法?
编辑
我需要为现有的端点 API 编写自己的实现,以编写自己的实现
/dbconnections/change_password
你可能会问为什么?
就我而言,我的应用程序已经用 RubyOnRails 编写,并且它已经实现了忘记密码,因此,我只需要在端点 API 调用我的应用程序方法以获取忘记密码,该方法由 Auth0Lock 对话框调用,我然后通过自定义实现中的 restful 调用将提供的用户电子邮件传递给我的服务器!这就是我进行集成所需的全部内容。
这是一个超级有用的功能,我希望我能从 Auth0 那里听到关于采用这种功能的意愿,或者至少提出一个对我来说更容易的想法。
reactjs - 如何使用钩子从我的 React 应用程序更新 Auth0 锁定徽标
我正在
"@auth0/auth0-spa-js": "^1.6.0"为我的反应应用程序使用 auth0 挂钩。
如何更改登录锁中的默认徽标 forom auth0?我要更改的徽标以红色突出显示
我已经更新了仪表板中的应用程序徽标,但它仍然没有显示。
先谢谢了
auth0 - 如何使用 Cypress 和 Auth0 测试单页应用程序
我有一个隐藏在 Auth0 锁后面的单页应用程序,使用@auth0/auth0-spa-js。我想使用 Cypress 对其进行测试,所以我决定关注官方Auth0 博客文章,以及 Johnny Reilly博客文章。
我能够使用建议的请求从 auth0 成功检索有效的 JWT 令牌。我不知道该怎么处理它:(
我面临的问题是上述两种方法都依赖应用程序在本地存储 JWT 令牌(在 cookie 或本地存储中)。但是,@auth0/auth0-spa-js使用了不同的方法,我假设所有相关的 cookie/localstorage 都存储在 auth0 域中。
你有什么想法,如果有办法绕过它?
2018 年 7 月在此处报告了类似的问题,但并未真正提供任何解决方案
auth0 - 带有自定义登录页面的 Auth0 授权代码流
是否可以在没有 Auth0 锁定(小部件)的情况下使用 Auth0 授权代码流?
Auth0 /authorize端点总是重定向到 auth0 锁,它可以重定向到自定义登录页面吗?
angular - Auth0-lock 不会显示关闭按钮角度
我一直在尝试将 auth0-lock 小部件添加到我的 Angular 应用程序中,它工作得很好,但是当涉及到 ui 自定义时,即使我添加了选项 closable: true 也不会出现关闭按钮。这是我的代码:
请问有什么帮助吗?先感谢您。
PS:一切正常,我唯一的问题是它无法关闭。