OAuth 2.0 筆記 (6) Bearer Token 的使用方法

最新推荐文章于 2024-04-17 09:42:40 发布
最新推荐文章于 2024-04-17 09:42:40 发布
阅读量2.3k 收藏
点赞数
分类专栏: php 文章标签: oauth2

文章目录

场景

  • 最近在研究oauth2认证, 刚好这篇文章很优秀, MARK一下

原文地址

  • 原文地址 https://blog.yorkxin.org/2013/09/30/oauth2-6-bearer-token.html

摘选片段

安全性建議的總結
Section 5.3 Summary of Recommendations

要藏好 Bearer Token
Client 實作必須確保 Bearer Token 不會外洩給無關人士,因為他們可以以此來存取受保護的 resources。利用 Bearer Token 時,這是首要的安全性考量,且優先於其他更細節的建議。

要驗證 TLS 的憑證鏈
當 Client 發 request 索取受保護的 resources 的時候,Client 必須驗證 TLS 的憑證鏈。若做不到的話,可能會引發 DNS 劫持,導致 Token 被壞人偷走。

全程使用 TLS (https)
當 Clients 利用 Bearer Token 發 request 時,Client 必須一直使用 TLS (RFC5246) (https) 或同等的安全傳輸。若做不到的話, Token 會曝露在各種攻擊方式,讓壞人可以得到意料之外的存取權。

不要把 Bearer Token 存在 Cookie
絕對不可以把 Bearer Token 存在可以明文傳輸 (sent in the clear) 的 Cookie 裡面(明文傳輸是 cookie 傳輸的預設方式)。若存在 Cookie 裡面,必須要小心 Cross-Site Request Forgery 。

要核發短時效的 Bearer Token
核發 Token 的伺服器最好是核發短時效的 Bearer Token (一小時以內),尤其是發給跑在瀏覽器裡面的 Client ,或是其他容易發生資訊外洩的場合。利用短時效的 Bearer Token 可以降低 Token 外洩時的衝擊。

要核發有區分使用範圍的 Bearer Token
Token 伺服器最好要核發包含 audience restriction, scoping their use to the intended replying party, or set of relying party 的 Token 。

不要用 Page URL 來傳送 Bearer Token
Bearer Token 最好不要從 URL 來傳送(例如 query parameter),而最好是從有保密措施的 HTTP header 或是 body 來傳輸※。瀏覽器、伺服器等軟體可能不會把歷史記錄或資料結構給妥善加密。如果 Bearer Token 透過 URL 傳輸,則壞人就有可能可以從歷史記錄取得之。
cominglately
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HttpClient 访问中增 Authorization Bearer token 认证
mezhangkang的博客
02-12 1万+
public static string HttpPostToken(string Url, string Api, object obj, string token, string ContentType = “application/json”) { string result = “”; try { using (System.Net.Http.HttpClient http = new S...
OAuth2.0认证过程中使用state传输业务数据
Spring淡淡的博客
04-13 1116
OAuth2.0覆盖原生state前言一、OAuth2.0简单说明二、使用步骤三 、总结 前言 一、OAuth2.0简单说明 是授权机制,用来授权第三方应用,获取用户数据。 有四种授权方式 授权码(authorization-code)先申请一个授权码,然后再用该码获取令牌 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 四种授权方式都会先进行注册,用来获得客户端 ID(client ID)和客户端密钥(client secret)。这是为了防
java oauth2登录以及权限_OAuth 2.0 协议原理
weixin_39616222的博客
11-26 1013
OAuth 2.0协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0的标准在2007年发布,OAuth 2.0的标准则在2011年发布,其中2.0的标准取消所有token的加密过程,并简化了授权流程,但因强制使用HTTPS协议,被认为安全性高于1.0的标准。官方参考链接:https://tools.ietf.org/html/rfc67...
SpringBoot学习笔记(十五:OAuth2 )
最新发布
2401_83412172的博客
04-17 912
我还通过一些渠道整理了一些大厂真实面试主要有:蚂蚁金服、拼多多、阿里云、百度、唯品会、携程、丰巢科技、乐信、软通动力、OPPO、银盛支付、中国平安等初,中级,高级Java面试题集合,附带超详细答案,希望能帮助到大家。还有专门针对JVM、SPringBoot、SpringCloud、数据库、Linux、缓存、消息中间件、源码等相关面试题。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
FastAPI 学习之路(二十八)使用密码和 Bearer 的简单 OAuth2
mr~li的博客
08-30 1316
使用密码和 Bearer 的简单 OAuth2
详解OAuth 2.0授权协议(Bearer token
热门推荐
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
OAuth 2.0: Bearer Token Usage
weixin_30929011的博客
05-07 505
  Bearer Token (RFC 6750) 用于OAuth 2.0授权访问资源,任何Bearer持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密key。一个Bearer代表授权范围、有效期,以及其他授权事项;一个Bearer在存储和传输过程中应当防止泄露,需实现Transport Layer Security (TLS);一个Bearer有效期不能过长,过期后可用Refresh...
什么是JWT?OAuth2以及Bearer Token基本解析
NZXHJ的博客
07-27 3265
什么是JWT?OAuth2以及Bearer Token基本解析
使用Springboot搭建OAuth2.0 Server的方法示例
08-27
使用Springboot搭建OAuth2.0 Server的方法示例 OAuth2.0是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。OAuth 的设计思路和运行流程主要可以分为以下几个方面: 1. ...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
在该示例中,我们将使用 Spring Security Oauth2.0 实现短信验证码登录功能。该功能允许用户使用手机号码和短信验证码进行登录验证。 三、MobileAuthenticationToken 类 MobileAuthenticationToken 类是一个自定义...
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
它提供了一些方便的方法,可在实现。 无需对服务器端体系结构进行任何假设,从而使该模块可以轻松适应任何设置。安装npm install --save shopify-token原料药该模块导出一个类,该类的构造函数带有一个options对象...
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
java bearer token,传递access_token参数的正确方式
weixin_39929153的博客
03-13 3650
OAuth中, access_token参数的传递如何才能更安全呢? 不知你有没有具体去研究过, 在此总结传递access_token的正确方式,(所谓正确方式是指传递方式更安全, 更隐匿, 更不容易被网络拦截,网络攻击的方式)1. 通过Header传递 access_token; [推荐]在请求URL的Header中, 添加header ->Authorization: bearer ...
token的传参方式
不是秋刀鱼的秋的博客
07-11 5586
token的传递方式分为参数传递和请求头(header)中传递两种 客户端发送请求(带有token),后台GateWay担任Security_OAuth2的资源服务器,对请求进行拦截,如下 springSecurityFilterChain 是springSecurity的filter @Bean SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { //认证处理器 ReactiveAuthentica
认证学习4 - Bearer认证(Token认证)讲解、代码实现、演示
weixin_39651356的博客
08-17 8202
Bearer认证(Token认证)讲解、代码实现、演示
HttpClientTool 进行basic auth认证并携带Bearer Token
m0_46690280的博客
03-10 1759
HttpClientTool 进行basic auth认证并携带Bearer Token对接方OAuth2.0协议使用httpClientTool 对接方OAuth2.0协议 首先根据对接文档,尝试用postman访问 获取成功 { "result": { "access_token": "2d6ed2af-b988-40ea-937f-a0b22b7c6db4", "token_type": "bearer", "refresh_token":
java href发送请求_如何使用location.href在get请求中添加Bearer Token
weixin_28684497的博客
03-02 1192
目前我有发送身份验证令牌的所有ajax请求,但是我创建了一个导出到excel的服务,ajax不支持这个,我正在使用location.href来获取请求 . 有没有办法添加该令牌?var getUrl = '/LandingView/ExportToExcel?excelHeader=' + excelHeader;getUrl += '&companyId=' + $scope.optio...
OAuth 2.0学习笔记(四种模式)
free的博客
07-15 378
title: OAuth2学习笔记 date: 2020-07-14 21:54:34 tags: OAuth 2.0 OAuth 2.0 引用 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 一、背景 主要是用来一个用来授权的框架。他解耦了认证与授权。 用于REST/APIs的代理授权 框架(delegated authorization framework) 基于令牌Token的授权, 在无需暴露用户密码的情 况下,使应用能.
Spring Security支持通过使用两种形式的OAuth 2.0 Bearer Token 来保护端点
03-29
基于JWT的Bearer Token使用JSON Web Token(JWT)作为Bearer Token,JWT包含了一些被称为claims的信息,包括用户身份、角色和权限等。Spring Security可以从JWT解码并验证这些信息,从而保护端点。 2. 基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值