即使我正确设置了 appId、appSecret、accesstoken，我也会收到错误消息“Graph returned an error: Invalid OAuth access token”。是的，令牌是在 Facebook 开发者页面中设置的。

我将 FOSOAuthServerBundle 与 Symfony 2.7 一起使用。

我想使用范围来区分两种类型的客户：

• scope_default：客户端只能访问经过身份验证的用户信息
• scope_master：客户端可以读取所有内容

reachable_scopes我在我的Client实体中添加了该属性。

如果客户不允许，我如何确保客户不会要求scope_master？

谢谢 ！

我正在使用 OAUTH API 来验证对用户谷歌日历的访问权限。他们没有使用 OAUTH 登录我的系统，只是接受我的网站访问他们的数据。

问题是，如果用户退出他们的谷歌帐户并且在他们点击验证后，它会强制他们退出他们的会话，我无法将它们链接起来。

如果他们已经在浏览器会话中登录到谷歌帐户并点击接受，这确实有效，他们将被重定向到正确的页面。

当缓存、cookie 被清除并且他们需要重新登录到他们的谷歌帐户进行验证时，我复制了错误。

我尝试存储会话 ID 等，但请求参数不包含与初始视图相同的请求数据，因此我尝试检索的数据存在冲突。

用户使用凭证模型的标准 Django 库登录。

代码

''''''''''''''''''''''''''''''''''''''''''''' '主函数处理auth验证'''''''''''''''''''''''''''''''''''''''' ''''''''

''''''''''''''''''''''''''''''''''''''''''''' ''''''' 用户通过身份验证后调用数据函数 ''''''''''''''''''''''''''''''''' '''

GoogleAuthUtil.getToken 的第二个参数需要一个帐户对象，但是当您与 Google SignIn 连接时，您得到的结果是 GoogleSignInAccount - 这不是一回事。有没有办法将 GoogleSignInAccount 转换为 Account 对象？

然后稍后：

我知道我可以通过显示 accountpicker 来取回电子邮件地址，我也可以从 google 登录结果中获取电子邮件地址 - 但我看不到获取整个帐户对象的方法。

oauth2所以我在工作时遇到了麻烦spring-boot.1.3.1.RELEASE。

spring-boot使用spring 4.2.4和spring-security-oauth2.2.0.8使用旧4.0.9版本。

这是一个项目，一旦添加依赖项maven，我就无法启动，因为它报告tomcatspring-security-oauth2

依赖层次结构看起来像附加的图像。

有没有办法让它们一起工作，或者我必须恢复到旧spring-boot版本？

依赖层次

我正在开发一个 Java 独立应用程序，它使用 Java box sdk 访问我的 box 帐户以访问存储在那里的文件。

我正在使用OAuth2盒子帐户进行身份验证。目前的步骤是：

1. 我使用developers/services.

2. 我在浏览器中使用 https://api.box.com/oauth2/authorize?response_type=code&client_id=[client id]&state=authenticated 来授权访问我的 Box 帐户。这是我必须干预以授权我的帐户的手动步骤。

3. 一旦我授权它会将我重定向到在 url 中嵌入了 auth_code 的下一页

4. 我从 url 中检索 auth_code(boxAuthCode) 并粘贴到应用程序中，例如 　　

   /li>

应用程序在 30 秒内执行（AuthCode 在 30 秒内到期）以生成 refresh_token。刷新令牌被持久化，并在后续请求中用于设置与盒子帐户的连接。

虽然步骤 2、3、4 是盒子帐户的一次活动，但我必须手动干预以生成 auth_code，然后在 30 秒内执行应用程序以获取刷新令牌。想频繁更换box账号就很麻烦了。

是否有一种灵活且程序化的方式来处理这个问题。我不想手动干预，所以如果我想访问另一个盒子帐户，我可以在应用程序中更改boxId并boxSecret为盒子帐户和应用程序配置重定向 uri 应该是能够处理步骤 2,3 和 4。任何帮助或建议将不胜感激。

奇怪的事情发生：

• 我有 2 个 gmail 帐户（A 和 B），每个帐户都有自己单独的谷歌分析帐户。
• 我在http://www.daimto.com/google-oauth2-php/之后创建了一个 Web 应用程序
• 我使用帐户 A 登录，我得到帐户 A 下的所有个人资料（这是正确的）
• 然后我从帐户 A 注销。
• 我使用帐户 B 登录并获得帐户 B 个人资料，但我仍然获得帐户 A 个人资料！

此外..如果我在另一台计算机上使用帐户 B 登录，我仍然可以获得帐户 A 的数据！！！！！！！！！我究竟做错了什么！

用账户A登录并获取另一个账户数据是非常奇怪的！

任何想法？

我正在尝试使用休眠构建带有 Spring-boot 和 oauth2 的 Restful API。

我已经制作了一个 CustomAuthenticationProvider 来对数据库中的用户进行身份验证，但我得到了服务器的以下响应

注意： json 响应。

这是我的 CustomAuthenticationProvider：

这是我的 WebSecurityConfiguration：

我成功地使用 curl 请求通过 Django-social-auth 使用 Facebook 令牌对我的 Django 项目中的用户进行身份验证，以返回我个人网站的令牌。很简单，我有一个 Facebook 令牌，我将其转换为 Django 令牌作为回报，但我只是使用 CURL 请求来完成这一壮举。我使用的框架来自 Philip Garnero (1)。

CURL 请求 - curl -X POST -d "grant_type=convert_token&client_id=&client_secret=&backend=facebook&token=" http://localhost:8000/auth/convert-token

当我尝试使用 AJAX 请求执行此操作时，就会出现混乱。我的ajax设置方式有问题吗？在将我的 facebook 令牌转换为经过身份验证的 Django 令牌之前，我是否需要先获取一个 csrf 令牌？

更新：通过代理运行我的 ajax 请求时，我收到 400 错误 unsupported_grant_type。该请求与我在 curl 命令和 Postman 命令中成功执行的请求相同。

阿贾克斯请求：

(1) - https://github.com/PhilipGarnero/django-rest-framework-social-oauth2

我正在学习 Spring-boot 和 Oauth2。我有几个问题。

我正在实施针对 CSRF 的保护

这工作正常，但是当我尝试访问我的 API 上的另一个路径时，我收到了这条消息。

我尝试在我的请求中使用 JSESSIONID 设置 cookie，但没有成功

我也尝试在我的项目上设置我的 CSRF 过滤器，最糟糕的是，这并没有让我得到带有 JSESSIONID 的 Cookie。字面上什么都不做

知道我做错了什么吗？

编辑我找到了我认为的部分解决方案，但现在我有几个问题。

解决方案： 使我的 CrsfTokenRepository 成为@Bean

只为我做了一堂课CsrfHeaderFilter

并将我的配置WebSecurityConfiguration移到我的Oauth2Configuration

我的问题是：

• 这个解决方案好吗？是个好习惯吗？
• JSESSIONID 和 XSRF-Token 不需要附加在我的 angularjs 请求中吗？