问题标签 [bearer-token]

是否可以定义永不过期的 ASP.NET Web API 2 不记名令牌？有什么线索吗？

我一直在关注http://leastprivilege.com/2012/11/01/oauth2-in-thinktecture-identityserver-v2-resource-owner-password-flow/上的 OAuth2 资源所有者密码流的 Thinktecture Identity Server 示例

我有示例工作并通过以下过程成功返回 JWT 令牌

1. 使用 Thinktecture OAuth2Client 检索访问令牌
2. 从客户端计算机上的“受信任的人”存储中检索签名证书
3. 使用证书并创建一个新的JwtSecurityTokenHandlerandTokenValidationParameters并调用tokenHandler.ValidateToken以获取 ClaimsPrincipal

从这里我被授权，但我不确定为进一步请求保留令牌的最佳方式。我尝试使用

但是我没有SessionAuthenticationModule注册。我尝试使用身份和访问向导来完成此操作，但它对配置进行了许多更改并尝试为被动身份验证进行设置。

我可以使用传统的 FormsAuthentication cookie (.aspnetAuth)，但我记得讨论过 .FedAuth cookie 的一个优点是，如果大小变得太大，它会自然地分成几个 cookie。

我正在努力寻找一篇为我完成图片的文章。我需要不记名令牌来访问堆栈中的各种 API。我有用于 SSO/被动身份验证的工作示例，因为大部分工作都是为您完成的。我只是不确定使用资源所有者密码流时使用的最佳模式。

所以

1. 我是否错过了使用 Thinktecture 身份模型和服务器实现这一目标的更直接的方法？
2. 我是否应该尝试创建一个 FedAuth cookie，以便我可以重用已经为 WIF 设置的各种消息处理程序/过滤器组件？
3. 否则 - 简单地将访问令牌放在 FormsAuthentication cookie 的 UserData 部分有什么特别的错误吗？

我正在尝试通过使用 Firefox 28.0 和REST Client v2.0.3进行 Google API 调用来学习 OAuth 2.0 。

1. 我去了 Google Developer OAuth 2.0 Playground网站。
2. 我使用我的 Google 凭据登录
3. 选择“日历 API v3”.readonly
4. 单击“授权 API”按钮
5. 然后我点击“交换令牌授权码”并获得访问令牌ab31.4.CDEfG_HI1JkKMNoPQR5S9tuvW_x2yzabcDEFGhiJklMnOpqRs-T6uvwXyza5BcdEFGHiJK3L
6. 在Calendar API中，我使用 URL https://www.googleapis.com/calendar/v3/users/me/calendarList和 GET HTTP 操作
7. 在 RESTClient 中，我创建了一个名为“Authorization”的标头，并将值设置为ab31.4.CDEfG_HI1JkKMNoPQR5S9tuvW_x2yzabcDEFGhiJklMnOpqRs-T6uvwXyza5BcdEFGHiJK3L来自 OAuth 2.0 Playground 的“Access token:”框。
8. 空白时，Body我单击SEND并收到授权错误（操场上说我的令牌在另外 30 分钟内仍然有效）

错误的标题是：

身体是：

我有一个具有 Ownin cookie 身份验证的 Mvc 5 客户端。我还有一个受 Owin Bearer 令牌保护的 Web Api（我使用了创建令牌端点的 VS2013 Web Api 模板）

好的，现在我的 Mvc 5 客户端需要使用我的 WebApi。我创建了一个获取不记名令牌的方法：

在我的 Mvc 动作中，我称之为：

这一切都很好......但是我需要在我的所有操作中使用Web Api......那么我怎样才能保留那个令牌（尽管每个请求都会获得一个新令牌）以及如何验证它是否过期......有可能以某种方式将其与身份验证cookie保持在一起？处理这种情况的任何最佳做法？

谢谢

我正在使用 asp 身份框架，并且正在尝试将它与不记名令牌一起使用。

我想从我的 webapi 控制器中的 Register 方法返回一个访问令牌，其格式与 owin 中间件在将用户名/密码详细信息发布到 TokenEndpointPath 时返回的格式相同。

我看到的所有示例都与基于 cookie 的身份验证有关，它们只是在用户注册后调用 AuthenticationManager.Signin(properties, identity) 。

我希望能够返回类似于以下内容的响应：

当此功能必须已经存在于某处时，我是否必须自己创建自己的类并序列化所有这些字段？

我尝试通过 Oauth2 和 nodeJS 保护我的 api 端点。我遵循 Oauth2orize 的 Github 页面中提供的所有示例，并自定义 db 以检索 MySQL 服务器中的数据。令牌存储在 DB 中，与 uid 的用户配置文件相关联。

最后，当我调用我的 URL /api/userinfo 时，我的承载策略没有被调用，我的控制台中没有输出（甚至是 console.log）。

请在下面找到代码：

任何想法为什么不调用此策略？我该如何调试这种情况？

我正在使用 Yesod 为基于 Angular 的应用程序构建一个纯 REST 后端。此应用程序将与 CDN 单独托管，并且需要连接到 Yesod api 以及其他一些。有没有办法让 Yesod 接受承载令牌而不是使用 cookie 会话进行身份验证？

我有一个具有 Identity 2 安全性的 Web Api 应用程序。我可以登录并获得带有不记名令牌的响应，例如

问题是如何将此令牌发送到将来的请求，以及如何在用户未通过身份验证时重定向到登录页面。

使用 angularjs、node.js、mongodb、passportjs、express 开发移动应用程序...我使用不记名令牌实现不记名策略。我想知道，当用户使用应用程序时（在用户登录后立即创建访问令牌），但我想了解 API 何时必须刷新它或访问令牌何时必须过期。