Oauth 2.0 通过命令行获取Auth0访问令牌
我被迫使用一个不符合逻辑的网站(我们称之为Oauth 2.0 通过命令行获取Auth0访问令牌,oauth-2.0,jwt,auth0,Oauth 2.0,Jwt,Auth0,我被迫使用一个不符合逻辑的网站(我们称之为zzz),它使用auth0进行身份验证,并在内部使用restapi,我强烈希望直接使用API 使用浏览器检查器,我可以看到API是如何工作的,如果我使用我在那里找到的JWT访问令牌(使用Authorization:Bearer传输),我可以编写访问API的脚本 我面临的问题是,给定我的用户名和密码,通过auth0获得这样一个JWT访问令牌 当我使用基于浏览器的登录时,我看到zzz将我重定向到 https://zzz.eu.auth0.com/login
zzz
),它使用auth0进行身份验证,并在内部使用restapi,我强烈希望直接使用API
使用浏览器检查器,我可以看到API是如何工作的,如果我使用我在那里找到的JWT访问令牌(使用Authorization:Bearer
传输),我可以编写访问API的脚本
我面临的问题是,给定我的用户名和密码,通过auth0获得这样一个JWT访问令牌
当我使用基于浏览器的登录时,我看到zzz
将我重定向到
https://zzz.eu.auth0.com/login
?state=g6…mo
&client=uz…6j
&protocol=oauth2
&response_type=token%20id_token
&redirect_uri=https%3A%2F%2Ffoo.zzz.com%2Fcallback
&scope=openid%20read%3Amore%20scopes…
&audience=zz-api-prod
&nonce=0G…L7
&auth0Client=ey…n0%3D
(为方便起见,请使用分线)
我现在可以手动输入用户名和密码并登录,这似乎执行以下步骤:
- A
toPOST
一身https://zzz.eu.auth0.com/usernamepassword/login
以及{ "client_id":"uz…6j", "redirect_uri":"https://foo.zzz.com/callback", "tenant":"zzz", "response_type":"token id_token" "connection":"zzz-production-users", "username":"…", "password":"…", "nonce":"0G…L7", "state":"g6…mo", "sso":true, "_intstate":"deprecated", "_csrf":"fb…KI", "audience":"zzz-api-prod", "auth0Client":"ey…n0=", "scope":"openid read:stores more:scopes …", "protocol":"oauth2" }
哪个重定向到<form method="post" name="hiddenform" action="https://zzz.eu.auth0.com/login/callback"> <input type="hidden" name="wa" value="wsignin1.0"> <input type="hidden" name="wresult" value="ey…tE"> <input type="hidden" name="wctx" value="…"> <noscript> <p> Script is disabled. Click Submit to continue. </p><input type="submit" value="Submit"> </noscript> </form>
…其中包含我想要的珍贵访问令牌https://foo.zzz.com/callback #access_token=ey…7Q &scope=openid%20read%3Amore%20scopes… &expires_in=7200 &token_type=Bearer &state=%7B%7D &id_token=ey…Sg
wctx
和wresult
参数,这是非常繁琐的
所以我的问题是:
是否有一种方法可以获取access\u令牌
其他更方便使用命令行curl编写脚本的方法,或者一些简单的python代码/库
我尝试了在auth0文档网站上找到的各种方法(例如),但都没有成功;可能是因为zzz需要在其auth0设置中显式启用它们?正确的方法应该是将它们分开:
- 非理性网站(客户端A)-使用隐式流
- Web API
- 客户端B(您的命令行)-它使用不同的流
您至少可以通过这种方式获得令牌。API是否接受来自您的调用可能取决于其他设计方面。正确的方法应该是将以下两者分开:
- 非理性网站(客户端A)-使用隐式流
- Web API
- 客户端B(您的命令行)-它使用不同的流
您至少可以通过这种方式获得令牌。API是否接受来自您的调用可能取决于其他设计方面。这听起来似乎只是网站/Web API管理员可以做的事情,而不是我作为普通用户可以做的事情?是的,但如果需要使用不同的流(例如自动测试客户机),那么至少在测试环境中这样做是很常见的。否则,您将被迫开发复杂且不可靠的代码,这是很糟糕的。这听起来似乎只是网站/Web API管理员可以做的事情,而不是作为普通用户的我?是的,但如果需要使用不同的流(例如,自动测试客户端),那么至少在测试环境中,这样做是很常见的。否则,您将被迫开发复杂且不可靠的代码,这将是一个糟糕的结果。
https://foo.zzz.com/callback
#access_token=ey…7Q
&scope=openid%20read%3Amore%20scopes…
&expires_in=7200
&token_type=Bearer
&state=%7B%7D
&id_token=ey…Sg