Warning: file_get_contents(/data/phpspider/zhask/data//catemap/5/url/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Jwt 密钥斗篷静默认证_Jwt_Openid Connect_Keycloak_Keycloak Services - Fatal编程技术网

Jwt 密钥斗篷静默认证

Jwt 密钥斗篷静默认证,jwt,openid-connect,keycloak,keycloak-services,Jwt,Openid Connect,Keycloak,Keycloak Services,我有一个react应用程序,它使用KeyClope端点令牌\端点对用户进行身份验证。我现在面临的问题是如何更新/刷新此令牌。我知道我可以使用刷新令牌,但这是一种糟糕的做法,因为当涉及到web应用程序时,它存在安全问题。在我看来,最好的方法是使用静默身份验证 不幸的是,我找不到任何示例或文档来实现这一点。万一你们有别的办法,我愿意接受建议 Tks它只包括在身份验证请求上提供prompt=none参数,如OpenID Connect 1.0核心规范中所述: 提示可选 ASCII字符串的空格分隔、区

我有一个react应用程序,它使用KeyClope端点令牌\端点对用户进行身份验证。我现在面临的问题是如何更新/刷新此令牌。我知道我可以使用刷新令牌,但这是一种糟糕的做法,因为当涉及到web应用程序时,它存在安全问题。在我看来,最好的方法是使用静默身份验证

不幸的是,我找不到任何示例或文档来实现这一点。万一你们有别的办法,我愿意接受建议


Tks

它只包括在身份验证请求上提供prompt=none参数,如OpenID Connect 1.0核心规范中所述:

提示可选

ASCII字符串的空格分隔、区分大小写的列表 值,该值指定授权服务器是否提示 用于重新验证和同意的最终用户。定义的值为:

没有

授权服务器不得显示任何身份验证或验证 同意用户界面页面。如果最终用户被拒绝,则返回错误 尚未通过身份验证或客户端没有预配置 同意所请求的索赔或不满足其他条件 用于处理请求。错误代码通常为 需要登录、需要交互或中定义的其他代码 第3.1.2.6节。这可以用作检查现有设备的方法 认证和/或同意


它只包括在身份验证请求上提供prompt=none参数,如OpenID Connect 1.0核心规范中所述:

提示可选

ASCII字符串的空格分隔、区分大小写的列表 值,该值指定授权服务器是否提示 用于重新验证和同意的最终用户。定义的值为:

没有

授权服务器不得显示任何身份验证或验证 同意用户界面页面。如果最终用户被拒绝,则返回错误 尚未通过身份验证或客户端没有预配置 同意所请求的索赔或不满足其他条件 用于处理请求。错误代码通常为 需要登录、需要交互或中定义的其他代码 第3.1.2.6节。这可以用作检查现有设备的方法 认证和/或同意

使用/auth prompt=login进行身份验证以获取访问令牌。 只需使用grant\u type=refresh\u token调用OIDC/token,即可使用access\u token刷新token。新的响应包括访问令牌、刷新令牌等。 之后,必须为新的api调用更新它们。 使用/auth prompt=login进行身份验证以获取访问令牌。 只需使用grant\u type=refresh\u token调用OIDC/token,即可使用access\u token刷新token。新的响应包括访问令牌、刷新令牌等。 之后,必须为新的api调用更新它们。
嗨,汉斯,我不知道这是怎么回事。今天我请求对我的用户进行身份验证。然后我收到令牌、刷新令牌等。如何根据此参数更新令牌?我应该发送请求以获取更新的令牌吗?嗨,Hans,不确定这将如何工作。今天我请求对我的用户进行身份验证。然后,我收到令牌、刷新令牌等。如何根据此参数更新令牌?我应该向witch endpoint发送请求以获取更新的令牌吗?是什么让您认为使用刷新令牌存在安全问题?我建议你搜索有关这方面的参考资料,不要仅仅相信你的直觉。OAuth是目前使用最广泛的安全协议,它与适当的安全传输协议一起使用时非常强大。。。有很多资料解释了为什么在浏览器SPA中存储刷新令牌是个坏主意。刷新令牌是长期存在的。这意味着当客户端从服务器获取令牌时,必须安全地存储此令牌,以防止潜在攻击者使用它,因此,将其存储在浏览器中是不安全的。。。更多信息:如果您不信任浏览器中的刷新令牌,请使用服务器端适配器。这将为web会话生成浏览器cookie,该cookie将链接到服务器端的访问/刷新令牌元组。不过,请记住,如果有人偷了你的饼干,而且它是长寿命的,他可能会入侵你的帐户。如果你不能在这方面信任你的用户,那么你应该尽量减少黑客使用偷来的令牌/cookie可能造成的伤害。但是,正如我所说的,互联网上的大多数站点都依赖浏览器存储来管理会话。是什么让你认为使用刷新令牌存在安全问题?我建议你搜索有关这方面的参考资料,不要仅仅相信你的直觉。OAuth是目前使用最广泛的安全协议,它与适当的安全传输协议一起使用时非常强大
这不是预感。。。有很多资料解释了为什么在浏览器SPA中存储刷新令牌是个坏主意。刷新令牌是长期存在的。这意味着当客户端从服务器获取令牌时,必须安全地存储此令牌,以防止潜在攻击者使用它,因此,将其存储在浏览器中是不安全的。。。更多信息:如果您不信任浏览器中的刷新令牌,请使用服务器端适配器。这将为web会话生成浏览器cookie,该cookie将链接到服务器端的访问/刷新令牌元组。不过,请记住,如果有人偷了你的饼干,而且它是长寿命的,他可能会入侵你的帐户。如果你不能在这方面信任你的用户,那么你应该尽量减少黑客使用偷来的令牌/cookie可能造成的伤害。但是,正如我所说,互联网上的大多数网站都依赖浏览器存储来管理会话。