相关疑难解决方法(0)

人们谈论URL,URI和URN就好像它们是不同的东西,但它们看起来与肉眼相同.

它们之间有什么区别？

OAuth究竟是什么(开放授权)？

我收集了一些信息

• OAuth的
• Twitter教程:什么是OAuth以及它对您意味着什么
• 什么是OAuth

但我想学习并了解更多.我正在寻找有关生命周期的信息.为什么大多数社交网络都依赖于这种开放协议？

它会在不久的将来成为各种技术(例如ASP.NET)的事实吗？

OpenID和SAML有什么区别？

可能重复:
OpenID和OAuth之间有什么区别？

OpenID和oAuth之间的真正区别是什么？他们看起来和我一样.

我应该澄清,我打算在drupal中使用它们,如果这有任何区别的话.所以我想我受到drupal中可用的任何模块实现的约束.

SAML与OAuth联合登录有什么区别？如果公司想要使用第三方Web应用程序,并且还希望单点登录并成为身份验证机构,那么哪种解决方案更有意义？

OAuth术语一直困扰着我很长一段时间.OAuth授权是否有人建议或者是身份验证？

如果我错了,请纠正我,但我一直认为授权是允许某人访问资源的行为,但OAuth似乎没有任何实际允许访问给定资源的用户的实现.所有OAuth实现都在谈论为用户提供令牌(已签名且有时加密).然后,每次调用后都会将此令牌传递给后端服务端点,在该端点检查其有效性,同样不是OAuth关注点.

OAuth身份验证(每篇文章都说不是)我要求用户提供凭据,这反过来证明用户应该/不应该有权访问？

因此,似乎OAuth不是授权NOR身份验证,因为这些必须由其他进程执行.那到底是什么？这是一个传递令牌的过程吗？真的没有特别含义的绒毛词吗？

在没有听起来神秘和迷信(幽灵和地精)的情况下很难提出关于这个主题的问题,所以我希望回答这个问题也不是一件简单的事情.输入您自担风险.

在Auth0中,您可以使用刷新令牌.在此链接中,我们可以看到许多返回的参数:

lock.showSignin({
  authParams: {
    scope: 'openid offline_access'
  }
}, function (err, profile, id_token, access_token, state, refresh_token) {
  // store refresh_token
});

显然,access_tokens可用于检索用户配置文件数据.但这似乎是oauth特有的,我认为auth0使用openid？

id_token和之间有什么区别access_token？

我正在开发一个Android应用程序,要求用户注册并登录网站,然后在Android应用程序中使用该注册信息.我应该使用oauth还是openid,还是有更好的东西使我不需要开发一次性身份验证系统？

我使用https://www.googleapis.com/auth/userinfo.email范围来获取经过身份验证的用户的电子邮件地址.但在进行身份验证时,Google会提示用户:

该应用程序想:

• 了解您在Google+上的身份(帮助图标显示:此应用请求获得与您的公开Goog​​le个人资料相关联的权限)
• 查看您的电子邮件地址

我不想要用户的Google+相关信息.我正在使用OAuth2身份验证方法.对于Authsub请求身份验证,它只需要电子邮件地址访问.如何单独访问用户的电子邮件地址？

所以.我有域A.com,其用户身份验证在域B.com完成.目前我设置了这样,以便登录表单发布到B.com,如果成功,则设置会话cookie并激活重定向到Aloglogged.但是,当表单发布到B.com并且cookie设置为该域时,当我从A.com执行JSON请求时,会话cookie不可用,我不知道他们是否登录.那么问题就变成了,如何解决这个问题呢？

我一直在考虑一个解决方案,其中我会向重定向uri添加一个令牌,然后可以用A.com进行一次身份验证会话创建(浏览器可以使用该令牌来验证与B.com的会话,这样cookie就可以设置为A.com,并且可以在JSON请求中使用.之后令牌将被无效.c).

但是,我不确定这个解决方案有多安全？或者还有其他更安全的解决方案吗？