回答情况:
提问时间:
问题标签:
1回答
我正试图使PKCE与看门人。我按照这里的指示:它基本上只是运行:但是,当我测试流时,没有看到任何东西被保存到从上面的命令添加到数据库中的新列中。
浏览 4提问于2019-12-17得票数 2
回答已采纳
我必须从第三个服务获得登录凭据,该服务需要PKCE进行身份验证。我正在考虑用django-allauth来做这件事,但是我找不到在我的请求中发送pkce的方法。我这样做没有什么特别之处。我生成了一个PKCE,但是我可以在哪里添加它呢?
这个配置非常简单,我在我的SOCIALACCOUNT_PROVIDERS中做了一个定制的settings.py。它与服务器联系,但缺少PKCE ( code_challenge )。
浏览 11提问于2022-01-28得票数 0
2回答
如果我正在开发一个静态服务的web应用程序客户端,我需要使用隐式授权流(这不再是可取的),或者在PKCE中使用授权代码授予流。但是,在这种情况下,我仍然可以利用PKCE (服务器可以生成必要的代码验证器而不是客户端应用程序)。所以我的问题是,使用一种方法比另一种方法有什么好处(提供客户端机密与利用PKCE)。
浏览 0修改于2019-10-05得票数 8
Snapchat需要PKCE参数。我首先更改了AUTH_PARAMS。', 'state': ''} 从我可以挖掘的所有身份验证的代码中,我在代码库中找不到任何关于base64参数或PKCE Url SHA256编码的东西。
浏览 15修改于2020-12-17得票数 1
1回答
我正在为Tomcat使用asgardeo库并阅读文档,我找不到如何请求新的AccessToken,因为前一个已过期,我想知道是否可以在调用中使用PKCE扩展。
浏览 9修改于2022-09-06得票数 0
我没有找到任何关于如何在使用QOAuth2AuthorizationCodeFlow时启用PKCE的文档。
如果是,请提供链接。如果没有支持,如何将此功能添加到其中?
浏览 3修改于2022-03-16得票数 1
回答已采纳
我过去从来没有遇到过问题,在这种情况下,我遇到了问题,因为第三方/外部IDP启用并强制执行了PKCE。 是否有方法可以联合到启用了PKCE的IDP。我可以在我的IDP上启用PKCE,没有任何问题,如果需要的话,可以将相同的报头转发到外部IDP,但我看不到这样做的方法。
浏览 29修改于2020-09-26得票数 0
以下是一个更直接的“是”或“否”问题OAuth2客户端秘密的目的是什么?PKCE到底在保护什么?不过,如果是这样的话,为什么谷歌仍然会在他们的OAuth 2.0客户端I中使用客户端机密(除非它们等同于无机密的客户机I,否则它们就是API密钥,我还没有验证它是它们的PKCE)。
浏览 0修改于2022-05-18得票数 3
然而,这个第三方只支持使用PKCE的代码授权流,并且Cognito向OIDC提供者发出的请求不是使用PKCE发出的(不会发送code_challenge参数)。可以让Cognito向PKCE发出此请求吗?
浏览 22提问于2021-07-14得票数 0
当我们在支持PKCE的web应用程序上测试用户流时,我们会得到一个用于配置PKCE的下拉列表。但是,当我们尝试测试自定义策略时,我们得不到这一点。我们是否可以执行某些操作来启用此PKCE配置?
浏览 20提问于2021-07-22得票数 0
回答已采纳
我能够创建一个必须使用PKCE使用authorization_code流登录的公共客户端,如下所示: --endpoint http://127.0.0.1token-endpoint-auth-method none我还通过设置env变量将Hydra配置为要求公共客户端使用PKCEOAUTH2_PKCE_ENFORCED_FOR_PU
浏览 14修改于2022-03-23得票数 1
对于与给定端点(德国DATEV)的通信,我们的代码需要使用PKCE (https://www.rfc-editor.org/rfc/rfc7636)。这是用OpenIdConnect启用PKCE的唯一方法吗? 谢谢你的任何提示!
浏览 17修改于2021-10-07得票数 0
我有一个用于Web登录的OKTA客户端(单页面应用程序,带有PKCE的授权代码流)。我的重定向URI使用http,而不是https。现在,在重定向到OKTA进行身份验证之前,我在浏览器中看到一个错误:
core.js:6210 ERROR Error: Uncaught (in promise): AuthSdkError: PKCEPKCE requires secure HTTPS protocol.AuthSdkError: PKCE requires a modern browser with encryption
浏览 24提问于2022-11-24得票数 1
问题:我相信我理解PKCE对隐式流的改进,但是在使用PKCE的用户机器与应用程序接收和处理后端授权代码的授权代码流之间,安全性有什么根本的区别呢?查看SPA组件的开发人员使用了默认使用PKCE流的库,因此客户机本身以ID令牌结束,然后可以将其发送给我们进行JWT验证。我看了一些示例实现,当使用非PKCE授权代码流时,一些库只是信任它从Microsoft收到的ID令牌,因为应用程序事先知道端点/最终用户无法配置。
浏览 9修改于2022-06-12得票数 0
2回答
我想弄清楚PKCE在移动应用程序中是如何工作的,有些事情我不太明白。
因此,根据我可以收集到的信息,客户端应用程序创建了一个随机的加密安全字符串,称为代码验证器。然后将其存储起来。当然,如果您想要欺骗这一点,您只需将client_id视为正常,并生成您自己的代码验证器和挑战,并且您处于相同的位置,就好像PKCE一开始并不是必需的。如果最初的想法是,它基本上是一个“动态秘密”,那么PKCE到底想要解决什么呢?我的假设是,只有在返回auth_code时有人碰巧在“监听”时才会出现这种情况,但是如果您再次使用SSL,这是否需要呢?
浏览 0修改于2021-10-07得票数 56
回答已采纳
我是OAuth世界的新手,我试图理解使用PKCE比传统授权代码授予的好处。(我的许多假设可能是错误的,所以我要感谢你的修正。)为了解决在公共客户端应用程序中硬编码客户端秘密的问题,使黑客无法获取客户端秘密并盗取令牌,提出了PKCE。使用PKCE,客户端应用程序代码不需要硬编码客户端秘密,因为PKCE不需要这些信息来获取最终用户的令牌。
PKCE流创建一个随机字符串,将其转换为哈希值和Base64。这很好,但是如果客户端秘密不再需要获得令牌来访问User1数据,那么我如何避免黑客开发一个使用PKCE
浏览 2修改于2022-02-02得票数 3
回答已采纳
目前,我们使用代码流(PKCE),同时引用令牌,利用IdentityServer4提供的令牌内省端点。 同时使用PKCE和引用令牌是不是有点过分了?我们想知道使用引用令牌是否比仅使用具有普通访问令牌的PKCE具有任何安全优势。 谢谢!
浏览 23修改于2020-09-28得票数 1
回答已采纳
我试图使用Kecloak对vuejs应用程序进行身份验证,但在试图使用keycloak令牌api ()将授权代码交换为访问令牌时,收到了PKCE代码验证器未指定的错误。请求的错误是{ "invalid_grant“:"error_description":"PKCE代码验证器未指定”}
浏览 5提问于2022-09-15得票数 0
在这个中,它声明:
注意:尽管到目前为止,PKCE被推荐为一种保护本地应用程序的机制,但这个建议适用于所有类型的OAuth客户端,包括web应用程序。据我理解,PKCE旨在确保将令牌授予请求auth代码的同一实体,以防止攻击者使用被盗的auth代码执行不必要的请求。那么为什么这里推荐PKCE呢?在我看来,偷来的auth代码最多只能从后端启动API请求,而不会将令牌或数据返回给攻击者。假设PKCE实现是可行的,那么它到底是如何工作的呢?
浏览 3提问于2022-03-16得票数 2
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号