Oauth 2.0 OAuth 2：状态是否应该过期？_Oauth 2.0 - Fatal编程技术网

Oauth 2.0 OAuth 2：状态是否应该过期？

oauth-2.0

Oauth 2.0 OAuth 2：状态是否应该过期？,oauth-2.0,Oauth 2.0,对于使用OAuth协议的状态参数的服务，客户端可以在procotol的步骤1和步骤3之间维护状态：用户从客户端重定向到状态为的服务用户对作用域的同意使用授权代码和状态将用户重定向回客户端是否有充分的理由设置步骤1和步骤3之间的最大延迟？具体来说，可以通过将过期日期设置为状态来实现。OAuth 2流应该相当快地完成似乎是合理的（例如，在步骤1之后一年到达步骤3会非常奇怪），因此我尝试在状态中添加大约1天的过期日期。是否有任何安全或功能方面的最佳实践？如果否，是否存在使状态过期的明显缺点？首

对于使用OAuth协议的

状态

参数的服务，客户端可以在procotol的步骤1和步骤3之间维护状态：

用户从客户端重定向到状态为

的服务


用户对作用域的同意
使用授权代码和状态将用户重定向回客户端

是否有充分的理由设置步骤1和步骤3之间的最大延迟？具体来说，可以通过将过期日期设置为状态
来实现。OAuth 2流应该相当快地完成似乎是合理的（例如，在步骤1之后一年到达步骤3会非常奇怪），因此我尝试在状态中添加大约1天的过期日期。是否有任何安全或功能方面的最佳实践？如果否，是否存在使状态过期的明显缺点？
首先，状态是授权请求中的建议参数，而不是必需参数。因此，它可能根本不包括在内
state
参数是一个不透明的值，客户端使用它来维护请求和回调之间的状态。建议使用此参数来防止CSRF攻击，请参阅
我从来没有见过州政府设定的有效期。用户可以导航到客户端，重定向到授权服务器，并在登录屏幕上休眠机器。当用户唤醒机器时，他们可以完成登录并重定向回客户端。如果客户仍然知道该州的情况，我不明白为什么会失败，即使是几天后
另一方面，颁发的授权代码的生命周期是有限的。一旦发布，应在几分钟内使用，并且只能使用一次




[report]相关文章推荐



                                                        
Report 为了报告而对实时数据进行非规范化-好还是坏？
report 
Report Access 2003：报告中只显示一个结果，即使查询中有几个结果
report 
Report 如何在openERP中使用rml报告获取.odt文件？
reportopenerp 
Report Pentaho报告分组&；隐藏/显示元素
reportpentaho 
Report ABAP列表报告：AT行选择后返回按钮的事件
reportabap 
Report 如何使页眉/页脚之外的文本在Odoo Qweb报告中的每个页面上重复
reportodoo 
Report AdWords广告性能报告：是否会重新计算？
report 
Report 科学论文格式/布局
report 
Report Logi Analytics（信息）报告中的仪表盘和面板损坏
report 
                                       





随机文章推荐



                                                        
Llvm 检测'；和''；或'；指示
llvm 
LLVM向量上过长的位移位会产生什么结果？
llvm 
LLVM:从函数Pass访问全局变量
llvm 
Llvm 可变参数
llvm 
llvm-检查函数A是否调用函数B的最快方法
llvm 
Llvm libunwind是否在libcxxabi中实现了abi？
llvm 
有没有办法在llvm ir中区分指针类型？
llvm 
Llvm 如果一个程序'；s main返回一个i32，为什么是$？（由调用它的shell测量）被截断为8位？
llvm 
LLVM从GlobalVariable获取数组文字的值
llvm 
为什么LLVM有向量类型和数组类型？
llvm


                                        

                                        
                                        


                                                
                                                        [oauth 2.0]相关推荐
                                                        
Oauth 2.0 rhomobile和oauth2
									Oauth 2.0
							 
Oauth 2.0 java api中的Bigquery实例是否刷新它'；在使用具有刷新令牌的凭据构建Oauth 2.0授权后，是否自动执行Oauth 2.0授权？
									Oauth 2.0
							 									Google Bigquery
							 
Oauth 2.0 Google Drive SDK alternateLink与OAuth2
									Oauth 2.0
							 									Google Drive Api
							 
Oauth 2.0 Google oAuth v2-用户配置文件-缺少国家/地区参数
									Oauth 2.0
							 
Oauth 2.0 OAuth2是允许外部企业客户端SAML身份验证的好选择吗？
									Oauth 2.0
							 
Oauth 2.0 Google OAuth 2.0离线访问
									Oauth 2.0
							 
Oauth 2.0 OpenID身份验证请求包含WSO2 Identity Server 5.0.0中的Google联合身份验证附带的未注册域错误
									Oauth 2.0
							 									Wso2
							 									Google Plus
							 
Oauth 2.0 谷歌oauth通过添加html按钮，在IE中看起来不同
									Oauth 2.0
							 									Google Plus
							 
Oauth 2.0 如何将在浏览器上经过身份验证的电子邮件地址安全地传输到服务器？
									Oauth 2.0
							 
Oauth 2.0 IBM Social Business Toolkit中的OAuth2身份验证
									Oauth 2.0
							 
Oauth 2.0 Yammer：无法再使用Yammer API访问来自其他网络的消息
									Oauth 2.0
							 
Oauth 2.0 使用我自己的密码进行OAuth 2.0授权
									Oauth 2.0
							 
Oauth 2.0 没有Asp.net标识的OAuth
									Oauth 2.0
							 
Oauth 2.0 OAuth授权流-令牌过期
									Oauth 2.0
							 
Oauth 2.0 OAuth 2.0和OpenID连接
									Oauth 2.0
							 
Oauth 2.0 Adal.js返回具有powerbi资源的无效权限的令牌
									Oauth 2.0
							 									Powerbi
							 
Oauth 2.0 当后端API存在于internet上并且由OAuth2保护时，API管理产品的用例
									Oauth 2.0
							 
Oauth 2.0 Soapui-oauth2不点击“获取访问令牌”；获取令牌“；
									Oauth 2.0
							 
Oauth 2.0 为什么刷新令牌对于SPA不安全？
									Oauth 2.0
							 
Oauth 2.0 谷歌Oauth2防止重复的电子邮件地址？
									Oauth 2.0
							 
Oauth 2.0 Passport.js对Gmail API进行身份验证将导致GooglePlusAPIError
									Oauth 2.0
							 									Google Api
							 									Google Plus
							 
Oauth 2.0 Google plus不推荐，是否已经实现了基于OAuth 2.0的登录流？是否需要进行重大更改？
									Oauth 2.0
							 									Google Plus
							 
Oauth 2.0 Mastodon：如果没有用户令牌，您如何对应用程序进行身份验证？
									Oauth 2.0
							 
Oauth 2.0 刷新令牌是否需要引用令牌？
									Oauth 2.0
							 									Openid
							 									Identityserver4
							 
Oauth 2.0 参数"；“国家”；必须在结果的查询字符串中设置，我应该进一步做什么
									Oauth 2.0
							 									Actions On Google
							 
Oauth 2.0 Orocrm-Web API OAuth，请求返回401
									Oauth 2.0
							 
Oauth 2.0 在OpenID connect授权代码流中使用PKCE时是否需要客户端密码？
，OAuthServices使用CODEL验证器来避免中间人攻击。据我所知，将OAuth代码交换为令牌是基于JavaScript的单页应用程序（SPA）的最佳选择
									Oauth 2.0
							 									Google Api
							 
Oauth 2.0 在没有PKCE的情况下使用OAuth2授权码是什么情况
									Oauth 2.0
							 
Oauth 2.0 在OpenID Connect with PKCE中，在用户重定向后，客户端如何知道使用哪个代码\验证程序发送哪个授权代码？
									Oauth 2.0
							 									Identityserver4
							 
Oauth 2.0 如何在服务器端更改作用域时使JWT令牌无效
									Oauth 2.0
							 									Jwt
							 
                                                        
                                                

                                                
                                                        Tags
                                                        
Aws Lambda
Notepad++
Discord.js
Instagram
Mapreduce
Sublimetext2
Cmake
Arangodb
Jasper Reports
Django Rest Framework
Timer
Twitter
Macros
Iphone
Ibm Mobilefirst
Spring Batch
Apache Flex
Playframework 2.0
Sparql
Mysql
Objective C
Unicode
Jestjs
Windows 8
Compiler Errors
Pagination
Marklogic
Eclipse Plugin
Openstack
Primefaces
Javafx
Tableau Api
Tcp
Playframework
Sml
Blazor
Plot
Visual Studio 2010
Io
Bots
Arduino
Mediawiki
Testing
Oracle Apex
Numpy
Blackberry
Statistics
Sap
Coldfusion
Jakarta Ee
Prometheus
Angularjs
Powerbi
Windows Installer
Asterisk
Layout
Google Maps Api 3
Mule
Yii
.net Core
Google Drive Api
Fortran
Openssl
Html5 Canvas
Google Api
Asp.net Mvc 3
Rabbitmq
Pascal
Oracle
Matlab
Jms
Monitoring
Active Directory
Gps
Url Rewriting
Debugging
Actions On Google
C++
Grid
Terminal
Svg
Vagrant
Web Crawler
Ckeditor
Visual Studio 2017
Windows Store Apps
Report
Recursion
Scikit Learn
Scripting
Cuda
Amazon Dynamodb
Xamarin.android
Flash
Xsd
Stata
Oracle11g
Automated Tests
Azure Sql Database
Spotify
Netbeans
Latex
Checkbox
Visual Studio
Binding
Jetty
Firefox Addon
Winforms
Jqgrid
Compiler Construction
Zsh
Facebook Graph Api
Go
Google Visualization
Scroll
Nsis
Nosql
Vb6
Haskell
Websphere
Tomcat
Laravel
Identityserver4
Windows Phone 8.1
Actionscript 3
Ruby
Enums
Command Line
Log4j
Assembly
Opengl Es
Material Ui
Asp.net Core
Functional Programming
Download
Coffeescript
Discord.py
Sbt
Seo
Grep
Ios7
Cmd
Netlogo
Navigation
Triggers
Uml
Keyboard
Sas
Logic
Ip
Lambda
Youtube Api
Merge
Abap
Rdf
Mapbox
Indexing
Maven
Virtualbox
Tfs
Push Notification
Kdb
Azure Data Factory
Amazon Ec2
Graph
Printing
Colors
Winapi
Ms Access
Cron
Function
Reporting Services
C# 3.0
Sugarcrm
Unity3d
Canvas
Iframe
Openshift
Akka
Python 3.x
Pentaho
Random
Flask
Openerp
Mpi
Twilio
Google Chrome
Emacs
Dask
Google Apps Script
Postgresql
Exchange Server
Ipython
Datetime
Scala
Air
Xamarin
Smalltalk
Localization
Arm
Selenium


                

                        
						
                        
                                
                                        
                                                
                                                        
                                                                Copyright © 2024. All Rights Reserved by  - Fatal编程技术网