问题标签 [oauth2]

我计划在 AngularJS 上使用 Spring RESTful API 后端和客户端创建应用程序。

我想使用 Google OAuth2 授权服务器保护我的 Spring RESTful API。

我有一个建筑问题：

在 Google 中成功授权后，我将收到来自 Google OAuth2 授权服务器的 accessToken。我是否需要将此 accessToken 传输到我的客户端应用程序（AngularJS）或者我需要在我的后端应用程序中引入一些自己的安全层（例如使用 JWT）并基于 Google accessToken 来发布自己的 jwtToken 并且只将此令牌传输到我的客户端应用程序 ？

换句话说 - 从 Google 向我的客户端 AngularJS 应用程序显示 accessToken 并将其用于我自己的 RESTful API 中的身份验证是否安全？

此外，对于我的 RESTful API，我是否需要在每次从我的客户端应用程序（AngularJS）调用到我的安全 RESTful API 后使用 Google Auth 服务器验证 Google accessToken？

当我尝试使用 Mailchimp OAUTH2 示例应用程序 (PHP) 时，我不断收到以下错误。

供您参考，这是他们的 github 存储库：https ://github.com/mailchimp/OAuth2-sample-apps

但是，我的客户 ID 和客户密码是正确的（已多次复制和粘贴）。

如果有帮助，我正在使用 Yii 2 框架。

我正在使用bshaffer/oauth2-server-php库来实现 oauth2 服务器。

目前，我使用访问令牌对每个请求进行身份验证，并在访问令牌过期时刷新令牌，因此如果刷新令牌未过期，则服务器返回新的访问令牌。如果刷新令牌过期，则返回以下错误： {"error":"invalid_grant","error_description":"Refresh token has expired"} ，然后在客户端用户自动注销。

我想用 Oauth2 实现标准的“PHP 会话超时”。因此，我的令牌将在上次请求后 XX 分钟后失效（如果同时没有请求），这意味着我将在每个请求上将令牌的有效期延长 XX 分钟。

我希望刷新令牌的过期时间与我上次的请求一致，因此将在 XX 分钟用户不活动后返回之前的错误。谁能告诉我实现这一点的最佳实践是什么？我想在每个请求的标头中发送刷新令牌并手动延长它在数据库中的过期时间，但不知道这是否足够安全。

这是由 Oauth2 处理的，还是不应该在使用 API 调用的系统上实现？

另外，我对如何在 oauth2 中处理这种情况感兴趣？

提前致谢。

我正在开发一个调用作为网络应用程序发布的 Google Apps 脚本的 Android 应用程序。该脚本使用高级 Google 服务（例如，我启用了 Fusion Tables API）。

现在，当我添加时，我不知道在开发者控制台中选择什么：

如果我选择 Android，授权流程（OAuth 和访问/刷新令牌）运行良好，但是当我发布到脚本时，答案是：

我究竟做错了什么？

我正在关注本教程https://yeti.co/blog/oauth2-with-django-rest-framework/但后来我遇到了一个问题。我可以注册一个新用户，但是当我尝试使用以下格式获取令牌时：

我会收到一个错误，说有credential错误。但是，如果我使用 创建一个新用户the admin page，我将能够获得令牌。我的猜测是，在sign_up视图中，密码不是hashed，所以有一些错误，但我不知道如何更改它。

序列化程序.py 文件：

视图.py 文件：

我想问你，在我的代码中保存 LinkedIn ConsumerKey 和 ConsumerSecret 是否安全，比如常量？

如果不安全，LinkedIn 的正确身份验证方式是什么？

让我先重申一下这个错误不会发生在我的本地或在线测试环境中，仅在生产中；尽管所有 3 台服务器共享相同的以下环境变量：

当我尝试使用此方法在生产中请求 reddit 访问令牌时：

我得到一个异常，它破坏了我的应用程序的流程，因为$response->getBody()等于invalid_grant.

然而，我无法弄清楚为什么它是无效的，因为在不同的环境中使用精确的类似凭据，甚至只是使用 Postman，都会导致我收到一个有效的访问令牌作为响应。这里发生了什么？

我是一名本科生，对一切都很陌生，我正在考虑创建一个可以登录、注册用户并具有密码恢复选项的网站。还会有通过 google 等的Oauth2选项...

它将接受某些服务的付款。

由于我要处理付款，为了安全目的和更快的设置，我应该使用 Joomla、Drupal 等 CMS 吗？或者这个目的还有别的东西。

我正在寻找像 Magento 这样的东西，它只是添加 zip 并提供数据库用户名和密码，并且用户管理在几分钟内完成，数据库完全加密。

PS 任何困难或简单的事情都对我有用，它必须是免费的，语言不是障碍......

我有两个问题我无法完全理解，希望有人能解释清楚：

1：您请求具有有效代码和范围“access_userdata”的访问令牌。访问令牌保存到数据库中，有效期为 10 天。是否可以向访问令牌添加新范围？这很常见吗？或者您是否直接在用户必须批准的应用程序中列出所有范围？如果可能，您是否只查找访问令牌并将新范围添加到其中？

2：假设您创建了一个应用程序，可在您的计算机和平板电脑上使用。首先，您会在计算机上获得一个设置为 10 天的访问令牌。第二天，您在平板电脑上执行相同操作。是否会生成新的访问令牌？或者服务器是否会返回相同的令牌，因为您与计算机上的用户相同，并且令牌尚未过期？我想您可以为同一用户拥有多个访问令牌？

我迷路了:)

目标是登录到使用 OAuth2 的网站。但是，我需要运行的部分没有与之关联的 API。所以我需要登录，只需使用用户名和密码，然后导航到有问题的页面并进行屏幕抓取以获取我的数据。

我确定问题不在于它位于此键盘上的网站。但是我已经搜索了示例并尝试了一大堆猜测，但没有任何效果

我们将不胜感激地接受帮助。