问题标签 [ropc]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
39 浏览

error-handling - AD B2C ROPC 用户流 - 返回自定义错误信息

我有一个功能来检查用户在登录期间是否使用 resetpassword 标记

如果用户被标记为 resetpassword,那么我需要返回错误消息“重置密码并重试”。否则继续返回 JWT 令牌。

我没有找到从 ROPC 用户流返回自定义错误消息的方法,您能否分享一些参考或任何解决方案来解决这个问题。

0 投票
0 回答
22 浏览

authentication - 具有资源所有者密码凭据流的服务器到服务器身份验证

场景是我们需要一个固定的用户身份来访问服务器API,所以不能使用客户端凭证流,因为它只包含应用程序信息。

认证发生在网页服务器和具有ROPC流程的认证服务器之间,用户名/密码从服务器存储为固定帐户。

浏览器 <-> 服务器 <---ROPC---> 认证服务器

一旦身份验证成功,服务器将拥有 JWT 访问令牌并使用此令牌调用 API 服务器。浏览器 <-> 服务器 <---JWT 访问令牌---> API 服务器

根据OAuth 2.0 安全最佳实践的第 2.4 节,本规范省略了资源所有者密码凭证授权

问题是在这种情况下,ROPC 流是否仍然适用于服务器到服务器的身份验证?

0 投票
0 回答
38 浏览

authentication - 使用 OAuth 进行静默(非交互式)用户身份验证

情景是这样的

  1. 服务 API 需要用户信息(用户 ID 或登录电子邮件)来处理 API 调用,最好从访问令牌中提取信息。
  2. 从客户端(可能是网页),我们希望使用固定帐户(用户名/密码)并且不需要用户手动输入,登录应该是非交互的并且对每个用户都是透明的。将此帐户视为服务帐户,不属于个人用户。

在这种情况下,从 OAuth 标准流中,不能使用客户端凭据流,因为它仅包含应用程序信息。此外,不能使用代码授权/隐含流程,因为它至少需要一次用户交互(向授权服务器提供身份)。在这种情况下,ROPC 流程是唯一的选择吗?或者还有更好的选择,因为 ROPC 被认为安全性较低,建议不要使用“OAuth 2.0 安全最佳当前实践”。

0 投票
1 回答
77 浏览

node.js - 将 loginWithUsernamePassword 迁移到 @azure/identity

我将一些代码从@azure/ms-node-auth迁移到@azure/identity,后者通过loginWithUsernamePassword. 迁移指南指向UsernamePasswordCredential类,但它拒绝了我的请求。

发生以下错误。

用户有一个federated帐户并通过协议@azure/ms-rest-nodeauth验证凭据。SAML

0 投票
0 回答
45 浏览

azure-ad-b2c - C# 中 Net Framework 中的 ADB2C ROPC 流

.NET Framework 4.6.1 中是否有等效的 AcquireTokenByUsernamePassword?我正在尝试将 ROPC 流实现到 AD B2C“本地”用户帐户,但此类的文档说它仅适用于 .NET Core。虽然,它确实让我在代码中使用它,但它不起作用。我按照所有说明进行操作,但仍然出现权限错误。我想知道这是我的设置问题还是框架。

不幸的是,我们现在还停留在旧框架上。