标签: access-token

在我的反应应用程序中,我使用axios来执行REST api请求.

但它无法使用请求发送Authorization标头.

这是我的代码:

tokenPayload() {
  let config = {
    headers: {
      'Authorization': 'Bearer ' + validToken()
    }
  }
  Axios.post( 
      'http://localhost:8000/api/v1/get_token_payloads',
      config
    )
    .then( ( response ) => {
      console.log( response )
    } )
    .catch()
}

这里的validToken()方法只是从浏览器存储中返回令牌.

所有请求都有500错误回复说

无法从请求中解析令牌

从后端.

如何使用每个请求发送授权标头？你会推荐其他任何反应模块吗？

我正在开发一个Web API 2.1服务,需要验证连接客户端(我将创建和控制的HTML5/JS客户端).不幸的是,用户信息(用户名,密码哈希,角色和更多信息)存储在我只有读访问权限的现有(SQL Server)数据库中.Users数据库表是在5 - 6年前创建的,没有任何安全框架参考,因此它是一个完全自定义的格式.我不允许对数据或数据库结构进行任何更改.

在本文的启发下,我推出了自己的基于令牌的用户身份验证方法,但我缺乏使用已建立的安全框架的完整性和(重新)保证.

考虑到我上面提到的限制,有没有办法在现有项目中集成现有框架,例如OAuth2？我不知道它是否有任何区别,但我是使用OWIN进行自托管.

编辑:我不知道为什么有几个人贬低了这个问题 - 它真的那么糟糕吗？就我而言,这是一个真正的问题,我希望得到一个答案(即使它是" 不,你不能这样做因为...... ").如果这些人可以在评论中解释他们的理由,那将不胜感激.

我一直在努力找出这个发生了什么.我的脚本工作正常,突然一半停止了.

我正在访问api并且正在获取访问令牌.使用访问令牌,我可以很好地访问用户的公共信息.但是,当我尝试将信息发布到他们的FB帐户时,我收到此错误.

Fatal error: Uncaught OAuthException: An active access token must be used to query information about the current user. 

知道这里发生了什么吗？我也在我的网站上使用会话来跟踪内部用户ID.不确定我的会话是否可能导致问题.

这是我上传的脚本,我收到了一个错误.

require 'facebook/src/facebook.php';


// Create our Application instance (replace this with your appId and secret).
$facebook = new Facebook(array(
  'appId'  => '12345678',
  'secret' => 'REMOVED',
  'fileUpload' => true, 
  'cookie' => true,
));
$facebook->setFileUploadSupport(true); 

$me = null;
// Session based API call.
if ($session) {
  try {
    $uid = $facebook->getUser();
    $me = $facebook->api('/me');
  } catch (FacebookApiException $e) {
    error_log($e);
  } …

我正在尝试将API查询到python中.命令行

curl --header "Authorization:access_token myToken" https://website.com/id

给出一些json输出.myToken是一个十六进制变量,始终保持不变.我想从python进行这个调用,这样我就可以遍历不同的id并分析输出.有任何想法吗？在需要身份验证之前,我已经使用urllib2完成了这项工作.我还看了一下请求模块,但无法弄清楚如何做到这一点.

非常感谢.

我认为OAuth基本上是基于令牌的身份验证规范,但大多数时候框架的行为就像它们之间存在差异一样.例如,如下图所示,Jhipster会询问是使用基于OAuth还是基于令牌的身份验证.

这些不一样吗？究竟有什么区别,因为它们的实现中都包含令牌？

使用数据库会话令牌系统,我可以使用用户名/密码进行用户登录,服务器可以生成令牌(例如uuid)并将其存储在数据库中并将该令牌返回给客户端.来自其上的每个请求都将包括令牌,并且服务器将查询令牌是否有效以及它属于哪个用户.

使用JWT,由于保留在服务器上的密钥和客户端保留并随每个请求发送的签名令牌的组合,因此无需为会话/令牌保存任何数据库.

这很好,但除了保存数据库检查每个请求(因为它只是检查哈希表,这将是快速的),我不清楚使用JWT的优点是什么.你能熟悉这个解释吗？让我们忽略cookie,它特别是如上所述的数据库自定义令牌和JWT,我试图比较和理解它的好处.

我必须承认我已经有很长一段时间没有这个问题,从来没有真正理解过.

说auth令牌就像一个保险箱的钥匙,当它到期时它不再可用了.现在我们给了一个魔术刷新令牌,可用于获取另一个可用的键,另一个......直到魔术键到期.那么为什么不将auth令牌的到期时间设置为与刷新令牌相同？为什么这么麻烦？

它的正当理由是什么,也许是历史原因？真的很想知道.谢谢

我尝试使用以下代码获取我的Facebook应用程序的app-access-token:

APP_ACCESS_TOKEN = FB.api(
    "oauth/access_token",
    {client_id: APP_ID, client_secret: APP_SECRET_CODE, redirect_uri: uri},
    function(response){
    console.log(response);
});

应该是这样的:

GET https://graph.facebook.com/oauth/access_token?
        client_id=YOUR_APP_ID
       &client_secret=YOUR_APP_SECRET
       &redirect_uri=uri

但我收到一个错误:

code: 1
message: "Missing authorization code"
type: "OAuthException"

什么是授权码,我该如何获得？

我想了解RSA令牌(SecurID)是如何工作的,那里使用的算法是什么,它是否与常规RSA加密/解密算法相同？

我正在构建一个用户可以管理其Twitter帐户的Web应用程序.我创建了Twitter应用程序,一旦用户验证自己,应用程序就会从twitter获取访问令牌.这个访问令牌是否过期,或者我可以代表用户存储它并发出请求,而不会要求他再次登录？