在UAA中有两个概念,权限和范围.
这些概念似乎重叠.我想知道确切的差异和目的
例如,oauth.login
假设我有几个客户:公司x,y,z。每个公司都有其雇员和SSO(大多数为saml,但也可以为openId或其他任何名称)。
我希望能够与他们的SSO集成在一起,以便他们可以登录到我的应用程序而无需提供我的凭据。像cloudfoundry UAA之类的东西。我应该使用哪一个:AWS SSO或AWS Cognito?有什么不同?
saml amazon-web-services single-sign-on cloudfoundry-uaa amazon-cognito
我有CF UAA,并尝试通过generic_oauth与Grafana 4.0.2一起使用。我能够配置登录名等,并且工作正常。我所缺少的是如何区分其他管理员用户。另外,我想在Grafana中将用户分为不同的组织。
可以吗 如果是这样,怎么办?我正在查看https://docs.cloudfoundry.org/api/uaa/#user-info / userinfo端点(在我的Grafanageneric_oauth设置中使用了该端点),它似乎没有足够的信息。也许可以通过示波器以某种方式做到这一点?
当 java spring boot 应用程序 jar 试图推送到云(cloudfoundry)时。得到以下异常。
Caused by: java.util.ServiceConfigurationError: org.springframework.cloud.CloudConnector: Error reading configuration file
at java.util.ServiceLoader.fail(ServiceLoader.java:232)
at java.util.ServiceLoader.parse(ServiceLoader.java:309)
at java.util.ServiceLoader.access$200(ServiceLoader.java:185)
at java.util.ServiceLoader$LazyIterator.hasNextService(ServiceLoader.java:357)
at java.util.ServiceLoader$LazyIterator.hasNext(ServiceLoader.java:393)
at java.util.ServiceLoader$1.hasNext(ServiceLoader.java:474)
at org.springframework.cloud.CloudFactory.scanCloudConnectors(CloudFactory.java:91)
at org.springframework.cloud.CloudFactory.<init>(CloudFactory.java:35)
at org.springframework.cloud.config.CloudScanHelper.initializeCloud(CloudScanHelper.java:82)
at org.springframework.cloud.config.CloudScanHelper.registerServiceBeans(CloudScanHelper.java:55)
at org.springframework.cloud.config.java.ServiceScanConfiguration.registerBeanDefinitions(ServiceScanConfiguration.java:22)
at org.springframework.cloud.config.java.CloudScanConfiguration.registerBeanDefinitions(CloudScanConfiguration.java:22)
at org.springframework.context.annotation.ConfigurationClassBeanDefinitionReader.loadBeanDefinitionsFromRegistrars(ConfigurationClassBeanDefinitionReader.java:352
at org.springframework.context.annotation.ConfigurationClassBeanDefinitionReader.loadBeanDefinitionsForConfigurationClass(ConfigurationClassBeanDefinitionReader.j
at org.springframework.context.annotation.ConfigurationClassBeanDefinitionReader.loadBeanDefinitions(ConfigurationClassBeanDefinitionReader.java:116)
at org.springframework.context.annotation.ConfigurationClassPostProcessor.processConfigBeanDefinitions(ConfigurationClassPostProcessor.java:333)
at org.springframework.context.annotation.ConfigurationClassPostProcessor.postProcessBeanDefinitionRegistry(ConfigurationClassPostProcessor.java:243)
at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanDefinitionRegistryPostProcessors(PostProcessorRegistrationDelegate.java:273)
at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanFactoryPostProcessors(PostProcessorRegistrationDelegate.java:98)
at org.springframework.context.support.AbstractApplicationContext.invokeBeanFactoryPostProcessors(AbstractApplicationContext.java:678)
at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:520)
at org.springframework.boot.context.embedded.EmbeddedWebApplicationContext.refresh(EmbeddedWebApplicationContext.java:118)
at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:760)
at org.springframework.boot.SpringApplication.createAndRefreshContext(SpringApplication.java:360)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:306)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1185)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1174)
at com.ge.og.pii.ap.rest.Application.main(Application.java:24)
... 8 more
Caused by: java.util.zip.ZipException: invalid block type …我想知道如何在主要浏览器默认禁用第三方cookie时,在2019年处理Oauth2隐式授权流程中的刷新令牌.
一些细节:
目前的设置:
UI SPA应用程序下 ui.example.com
身份提供者(UAA by CloudFoundry)下 uaa.api.example.com
场景:
当用户登录时,身份提供商将cookie设置为域的用户详细信息,uaa.api.example.com并在重定向的Location标头中返回JWT .
JWT存储在本地存储器中(for ui.example.com),但它仅在1h内有效,所以我想刷新它.
prompt=none发送到IDP授权端点的查询参数可以刷新(过程在Auth0指南中有详细描述(它不是UAA,但流程是相同的)
在每个20米隐藏的iframe中设置了src,uaa.api.exmaple.com/oauth/authorize?prompt=none创建了启动签名过程而无需用户提供其凭据的内容.当进程结束时,响应中返回的新JWT将再次存储在本地存储中.
问题:
当允许第三方cookie时,浏览器会将IDP的cookie添加到iframe发出的请求中,因此流程有效,我在响应中获得新令牌.
如果在浏览器的设置中禁用了第三方Cookie,则iframe无法访问自己的Cookie,因此login_required会返回错误,而不是新的JWT .无法通过iframe访问cookie使得令牌续订无法使用
题:
对于我的第三方Cookie问题,有什么解决方案吗?
如果没有,我可以用来登录和刷新令牌的Implicit Grant流量和SPA的替代品吗?