问题标签 [ropc]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
error-handling - AD B2C ROPC 用户流 - 返回自定义错误信息
我有一个功能来检查用户在登录期间是否使用 resetpassword 标记
如果用户被标记为 resetpassword,那么我需要返回错误消息“重置密码并重试”。否则继续返回 JWT 令牌。
我没有找到从 ROPC 用户流返回自定义错误消息的方法,您能否分享一些参考或任何解决方案来解决这个问题。
authentication - 具有资源所有者密码凭据流的服务器到服务器身份验证
场景是我们需要一个固定的用户身份来访问服务器API,所以不能使用客户端凭证流,因为它只包含应用程序信息。
认证发生在网页服务器和具有ROPC流程的认证服务器之间,用户名/密码从服务器存储为固定帐户。
浏览器 <-> 服务器 <---ROPC---> 认证服务器
一旦身份验证成功,服务器将拥有 JWT 访问令牌并使用此令牌调用 API 服务器。浏览器 <-> 服务器 <---JWT 访问令牌---> API 服务器
根据OAuth 2.0 安全最佳实践的第 2.4 节,本规范省略了资源所有者密码凭证授权
问题是在这种情况下,ROPC 流是否仍然适用于服务器到服务器的身份验证?
authentication - 使用 OAuth 进行静默(非交互式)用户身份验证
情景是这样的
- 服务 API 需要用户信息(用户 ID 或登录电子邮件)来处理 API 调用,最好从访问令牌中提取信息。
- 从客户端(可能是网页),我们希望使用固定帐户(用户名/密码)并且不需要用户手动输入,登录应该是非交互的并且对每个用户都是透明的。将此帐户视为服务帐户,不属于个人用户。
在这种情况下,从 OAuth 标准流中,不能使用客户端凭据流,因为它仅包含应用程序信息。此外,不能使用代码授权/隐含流程,因为它至少需要一次用户交互(向授权服务器提供身份)。在这种情况下,ROPC 流程是唯一的选择吗?或者还有更好的选择,因为 ROPC 被认为安全性较低,建议不要使用“OAuth 2.0 安全最佳当前实践”。
node.js - 将 loginWithUsernamePassword 迁移到 @azure/identity
我将一些代码从@azure/ms-node-auth迁移到@azure/identity,后者通过loginWithUsernamePassword
. 迁移指南指向UsernamePasswordCredential
类,但它拒绝了我的请求。
发生以下错误。
用户有一个federated
帐户并通过协议@azure/ms-rest-nodeauth
验证凭据。SAML
azure-ad-b2c - C# 中 Net Framework 中的 ADB2C ROPC 流
.NET Framework 4.6.1 中是否有等效的 AcquireTokenByUsernamePassword?我正在尝试将 ROPC 流实现到 AD B2C“本地”用户帐户,但此类的文档说它仅适用于 .NET Core。虽然,它确实让我在代码中使用它,但它不起作用。我按照所有说明进行操作,但仍然出现权限错误。我想知道这是我的设置问题还是框架。
不幸的是,我们现在还停留在旧框架上。