那些遇到过的问题

Oauth 身份验证过程中的随机数函数是什么?

Ran*_*ili 4 authentication oauth-2.0 azure-active-directory

我正在开发一个软件,其中登录过程是使用 Microsoft Azure AD 和 Oauth2 完成的。在此过程中,随机数是可选的,成功登录后,我会收到一个有效期为一小时的令牌。

我无法理解随机数在这个过程中的作用,并且我没有使用它。我的身份验证是否因此而不太安全?在此过程中添加随机数有什么好处?

Kav*_*uwa 6

Nonce 绑定客户端和令牌,防止令牌重放攻击。

nonce - 用于将客户端会话与 ID 令牌相关联并减轻重放攻击的字符串值

考虑您的令牌端点并从授权服务器接收令牌响应。作为客户端,您如何验证 ID 令牌不被恶意方重放?这就是随机数的作用。

您可以在授权请求中添加此参数。在令牌响应中,您将获得 ID 令牌。当您验证令牌时,您会验证令牌内的随机数(JWT 声明)。

更多来自这个答案

此外,根据流类型,随机数可以是强制参数。隐式流和混合流强制随机数值

归档时间:

查看次数:

7719 次

最近记录:

6 年 前
OAuth 2.0"状态"和OpenID"nonce"参数之间的区别?为什么国家不能重复使用? 43
更多相关链接
相关归档
错误:invalid_client没有注册的来源 46
为restify.js实现基于令牌的身份验证的最佳方法是什么? 12
如何在GAE Python中使用Facebook Graph API获取用户电子邮件? 6
如何脱机使用LDAP凭据? 4
使用WCF和自托管的Windows身份验证 3
没有会话的PHP用户认证教程 3
authenticate()得到了一个意外的关键字参数'username' 2
通过 REST API 访问 Zimbra(如何获取 zauthtoken?) 2
PassportJS 配置文件未定义名称 0
如何从NodeJS中的JSONObject获取值? 0
难疑归档
适用于Android UserManager.isUserAGoat()的用例? 3506
了解切片表示法 3024
'real','user'和'sys'在time(1)的输出中意味着什么? 1622
重命名pandas中的列 1601
如何将包含历史记录的SVN存储库迁移到新的Git存储库? 1486
在Chrome中停用相同的来源政策 1443
如何完全删除使用init创建的git存储库? 1358
如何配置git在本地忽略某些文件? 1237
对于Android Studio项目,我的.gitignore应该是什么? 1210
创建将T限制为枚举的通用方法 1122