问题标签 [implicit-flow]

我正在寻找在 Angular JS 中实现 Open Id 授权代码流的最佳方法。有关于获取临时令牌的隐式流程示例：id_token 和 access_token，但我需要获取长期令牌：刷新令牌。看起来我需要进行授权代码流，在那里我将根据用户凭据获取“代码”，从而使用该“代码”将获得 refresh_token。

我们的项目是 Angular/Web API 项目（不使用 MVC）。是否建议在客户端使用授权码流？如果是这样，我们可以实现此用例的最佳方法/最佳库是什么？

如何保留用户导航到的原始网址？假设我有一个未经身份验证的用户导航到http://localhost:9000/customer/123

要验证用户身份，我会执行以下操作：

当它返回到我需要访问原始网址的 callback.html 时：

或者也许还有其他获取原始网址的方法？

谢谢你的帮助！

假设，在 Oauth 隐式流程中，redirect uri我提供的是http://www.abc.de/de

然后 oauth2-server 将响应 a302并且location会说如下内容：

然后我的浏览器将我重定向到http://www.abc.de/de没有 url 哈希部分，对吗？

url 哈希是如何添加到我的重定向 uri 中的？Outh2-server 是否只是简单地添加它然后将其设置location为该值？

我怎么知道给出的值access_token是值得信赖的？这location是http请求的一部分吗？因此，虽然 url 哈希不会发送到服务器，但该location值可能会被 MITM 攻击拦截和干预。

还是我在这里混淆了？

我开发了一个 Google Action for Assistant（带有Api.ai）。我必须使用登录方法，因为我的应用程序使用用户必须登录并制作内容的网站。

在操作控制台中，我设置了与IMPLICIT方法链接的帐户，并在下面AUTHORIZATION URL插入了我的登录网址。其作品。

当我第一次（为了测试）对我的 Google Home 说话时，我的智能手机上会出现帐户链接的通知......完美。我的网站创建一个令牌并记录它，每次我的 webhook 之后都会使用相同的 access_token 调用。完美的。

两个问题

1. 这个 access_token 永远链接到我的谷歌帐户，或者谷歌可能会改变它？

2. 如何禁用此帐户关联并重置我的 google 操作？我想用新的 access_token 重新链接我的助手。我尝试从我的 webhook 返回一个 http 401，但它不起作用。

我们正在开发一个基于 Angular 5 的应用程序，它使用 Secure Auth ( https://www.secureauth.com/ ) 作为身份和访问控制解决方案。我们计划使用隐式流。在大多数 OAuth 客户端中，我们发现隐藏的 iFrame 用于静默刷新访问令牌。

但是默认情况下，Secure Auth IDP 不会在 iFrames 中打开，原因是它用于防止 Click Jacking... 这会阻止我们进行静默刷新。我们在 Identity Server 中没有发现这样的问题，另外大多数其他的像 Azure AD、AWS Cognito、Google 也推荐使用隐式流。

只是想知道这是否是一种威胁。任何意见表示赞赏。

我们正在尝试 oauth 隐式流程，用于智能家居与谷歌操作的集成。成功验证用户 ID 和密码后，针对 redirect_uri（下面给出的示例）的重定向失败，并出现以下错误（从 android logcat 中提取）。

“导航被阻止：assistant-handoff://complete/?result_code=FAILURE&result_message=Account+linking+failed”，来源：https ://assistant.google.com/services/auth/handoffs/auth/complete (0)

从服务器端触发的重定向 URL： https ://oauth-redirect.googleusercontent.com/r/connectedghome#access_token=xxyuy12&token_type=bearer&state= ”，来源：https://connected-safehome.in/smarthome/ui-auth/js/main.js?id=2 (109)

请帮助我们或给我们一些有关如何解决此问题的提示。完整的流程适用于 OAuth 游乐场应用程序。这已经成为一个障碍。

谢谢和热烈的问候， Pradeep

我目前有一个调用Web API的angular 2 SPA。我正在使用使用Identity Server 3和 oidc-client-js javascript 库实现的安全令牌服务来提供身份验证和授权以使用 Web API。

该协议是使用隐式流的OpenId Connect。

我已经基于这篇文章实现了静默令牌刷新。这是为了在调用 API 时始终拥有当前的 Access_Token。

为了在一段时间不活动后注销用户，我使用 javascript 计时器从 Oidc_Client_Js 库中调用UserManager.signoutRedirect方法。

这可行，但是我担心这可能会被操纵，因为用户的会话由客户端上的 Javascript 控制。

我的问题是，是否有任何推荐的技术在受 OpenId Connect 保护的单页应用程序上应用“滚动”自动注销？

我有一个使用 angular-oauth2-oidc 和 Keycloak OIDC 隐式流的角度页面。

使用 Keycloak 登录后，它将被重定向回登录页面。然后，登陆页面 [ app.component.html ] 将使用allowAccess()检查有效令牌以相应地显示main-nav或app-cover。

据我了解，因为这个验证需要一点时间，所以在检查这些令牌时，登陆页面会首先显示app-cover然后快速变为main-nav。

这种行为似乎提供了糟糕的用户体验，因为登录页面在重定向到main-nav之前会闪烁一秒钟。有没有办法在获得这些验证时注入加载页面或延迟？此条件路由是否存在导致此问题的问题？

或者切换黑白组件时的最佳做法是什么？

谢谢

[app.component.html]

[app.component.ts]

[路由模块]

我正在构建一个 SPA (javascript)，它将调用 WebAPI A (.net MVC API)，然后调用 (服务器端) WebAPI B (.net MVC API)。

所有三个实体均受 ADFS4 (OAuth2) 保护。在我的工作流程中，我希望 WebAPI A 代表已登录 SPA 的用户调用 WebAPI B。在阅读 Microsoft 的各种文档时，我发现以下文章中描述的场景最适合我的情况：

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/development/ad-fs-on-behalf-of-authentication-in-windows-server

本文假设客户端应用程序可以执行授权大流程。尽管如此，在我的情况下，我正在处理一个应该使用 OAuth2 隐式流的 SPA。此外，即使我想使用授权大流程，我仍然需要从 SPA 在 ADFS 的令牌端点上进行 POST，这是不可能的，因为 ADFS4 不提供添加 CORS 标头的方法。我当然可以在它前面部署一个代理并添加标题......我还没有探索这个选项。

我找到了一个解决方案来完成这项工作，但它对我来说更像是一个 hack；登录期间的 SPA 从 ADFS4 请求两个令牌（1 个用于 WebAPI A，1 个用于 WebAPI B）。它将两个令牌传递给知道第二个令牌用于访问 WebAPI B 的 WebAPI A。

这个解决方案看起来正确吗？我应该做一些不同的事情吗？

谢谢！

PS：1) SPA 不能直接访问 WebAPI B，因为它只能在内部访问。2）假设我完全控制了所有三个实体的开发。

我正在尝试运行该应用程序以研究在 Outlook Web 插件中使用 microsoft graph rest api。我找到了这个链接。他们在设置说明中要求为 Azure AD 应用程序启用 OAuth 2.0 隐式流功能。如果您能帮我解决这个问题，我将不胜感激。非常感谢与使用 microsoft graph API 相关的其他链接。先感谢您