问题标签 [bearer-token]

I have generate credentials for a service account like this:

the print display the credentials in json format :

This generate a private key ans access token that is null.

Is there a class that handels REST request specified here to get the access token ?

我有一个调用外部（第 3 方）服务的应用程序，我想知道是否可以得到一些帮助。

我试图弄清楚如何处理几件事，并想知道您是否对如何处理某些情况有任何意见和/或经验

1. 我们希望能够创建一个服务处理第三方调用的架构，这样客户端就不需要知道它正在访问哪个服务。例如，如果我们有一种方法可以与像 DocuSign 这样的第三方集成以进行文档签名，那么客户端应该能够在我们端调用一个服务来确定（基于一些凭据、租约等）它与哪个服务集成. 然而，我开始创建一个接口，它仍然让客户端确定要实例化和调用的实现，如果可能的话，我们想尝试分离它。一个。调用我们的“文档签名”服务，并带有我们正在使用的客户端和租户的一些指示，可能是通过访问令牌。湾。然后，该文档签名服务将需要指出它需要什么样的凭据，并让客户端知道如何登录该服务。例如，它可能希望重定向到授权服务器以获取访问令牌以发送到我们的服务以进行调用。

2. 我们还需要完成一些离线处理，这可能会调用需要身份验证的 3rd 方服务，但没有需要提示的客户端。我开始沿着存储 SAML 令牌和/或用户凭据的路线前进，但这似乎非常不安全。同样，作为一个 IdM 伪新手，不太确定如何处理这个问题（谷歌搜索带来了各种选项，但大多数（如果不是全部的话）看起来非常不安全）。我想我们可以对令牌等进行加密，以便与它一起存储，然后在运行任务并接收令牌时调用适当的授权服务器。

有关如何正确处理这些问题的任何意见？

现在我正处于 Web API 中 owin 承载令牌认证的学习阶段。该代码是使用基于令牌和 cookie 的身份验证实现的。代码是

该代码是由同事实现的，我有一些疑问。

1. 令牌认证基于生成的令牌。我为我的用户生成了一个令牌，其角色是“管理员”。现在我可以访问受限操作，因为用户具有“管理员”角色。但在那之后，我将同一老用户的角色更改为“用户”。现在使用相同的旧令牌，即使他现在不在“管理员”中，我也可以访问该资源。实际上我读了一些文章，这是用额外的自定义逻辑实现的。没关系

2. 现在我将用户密码更改为其他密码。现在本身，我可以使用相同的旧令牌访问资源。我认为这也不好，即使我也创建了短暂的令牌。

任何人请指导逮捕这个或我错过了什么？当我调用带有“授权”标头的操作时，实际调用的是哪个方法

在我的 ASP.NET Web API 项目中，我使用了不记名令牌授权，并添加了一些自定义声明，如下所示：

有什么方法可以访问控制器中的这个额外的声明值，而无需额外访问数据库？

我有需要 Azure AD 不记名身份验证的 API。

那么是否可以查询 Azure AD（可能使用 Graph API）来确定调用用户的组信息？此处的最终目标是将基于角色的安全性应用于 API 方法/控制器，如下所示（或类似）。

此外，身份信息如何以及在何处应用于执行线程？

我的 Angular 应用程序正在使用文章系列http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web-api-2-owin-asp-net中概述的不记名令牌-身份/。我已经按照分叉示例在访问令牌过期时无缝刷新令牌（通过 401 http 代码）。

我的问题是如何根据确定的角色确定承载令牌是否已过期或只是未经授权？

例如，我的 web api 方法具有属性 [Authorize(Roles="Admin")]。当我调用它时，我得到了预期的 401 错误。但是，当我的访问令牌过期并且我进行另一个 Web api 方法调用时，它也会返回 401 错误。这是我的拦截器中的 responseError 处理程序：

我在玩不同的东西，但基本上，我想刷新我的令牌并在访问令牌过期时重新发送我的请求；但是，如果由于指定的角色而确实是被拒绝的请求，我不想刷新我的令牌。

有什么想法吗？

我已经成功设置了 Web API + oauth2 不记名令牌身份验证。我通过 /authtoken 端点获得了一个令牌，并且可以使用它来调用 web api 的受保护区域。

但是，我已将过期时间设置为 7 天，但令牌似乎仅在 5 分钟左右有效：

这里有什么问题？

我希望有人可以就此给我建议。

我一直在关注本教程的修改形式thinktecture 身份服务器入门以尝试使用 OpenId Connect 身份验证设置站点。

我有这个设置：

充当身份服务器的 Asp.NET MVC 项目

作为安全网站的 Asp.NET MVC 项目

上述设置运行良好。当有人试图访问安全网站中具有 [Authorise] 属性的控制器时，他们将被重定向到身份服务器进行登录，然后在成功登录后重定向回安全网站。

我现在想在组合中添加一个 web api。我创建了一个 WebApi 项目，但与教程中使用“服务帐户”将其称为服务器端不同，我想以当前登录用户的身份从受保护的网站将其称为客户端（JQuery）。

我了解我需要在身份验证标头中使用不记名令牌。

我的问题是：如何在客户端获取当前登录用户的不记名令牌，以便设置标头？（用户已经登录。）

非常感谢您的帮助

我正在使用声明身份验证使用 ASP.NET WebApi 2 构建 Web api，我的用户可以拥有大量声明。随着大量索赔，不记名令牌会迅速增长，因此我试图找到一种返回更短的不记名令牌的方法。

到目前为止，我发现我可以为IAuthenticationTokenProviderOAuth 选项OAuthAuthorizationServerOptions.AccessTokenProvider属性提供一个：

这让我有机会拦截AuthenticationTicket并把它藏起来，用更简单的东西代替它——在我下面的散列 guid 示例中。（注意：目前这个类只是在ConcurrentDictionary<string,AuthenticationTicket>我的会话中保存 - 在一个真实的示例中，我打算将会话存储在一些持久性存储中）

所以我的问题：

• 这是提供代理密钥来代替我的长声明生成令牌的适当（且安全！）方式吗？
• 在 webapi/OAuth 堆栈中是否有更好/更容易的地方我应该这样做？

另一件需要注意的事情是我打算支持刷新令牌，实际上上面的示例是从使用这种机制的示例中提取的刷新令牌 - 除了刷新令牌它们似乎是一次性使用的，所以该 ReceiveAsync方法通常总是会删除从提供的刷新令牌ConcurrentDictionary，我不完全确定我理解为什么？

我有使用表单身份验证的 MVC 5 应用程序（与默认 MVC 5 项目模板中的相同）。同一个项目包含提供应用程序使用的一些 API 的 WebAPI 2.2 控制器。

我想通过使用不记名令牌对 API 进行两种访问。API 将通过 javascript 调用。我使用http://www.asp.net/web-api/overview/security/individual-accounts-in-web-api添加了代码来做到这一点。

问题是示例代码通过调用单独的 API 并提供用户名和密码来获取令牌。我想要实现的是在用户成功登录到 MVC 应用程序后返回承载令牌，而不是通过在 javascript 中进行另一个调用。

这可能吗 ？

更新： 我想通过使用标头在帐户控制器的登录操作中返回令牌。但是可能由于重定向，标头被丢弃。