Являются ли код аутентификации и токен доступа эксклюзивными для одного владельца ресурса? - Цифровое Кемерово

Являются ли код аутентификации и токен доступа эксклюзивными для одного владельца ресурса? ⇐ IOS

Ответить

1 сообщение • Страница 1 из 1

Anonymous

Являются ли код аутентификации и токен доступа эксклюзивными для одного владельца ресурса?

Цитата

Сообщение Anonymous » 29 ноя 2024, 22:20

На прошлой работе в качестве разработчика iOS я использовал URL-адрес аутентификации для перенаправления владельца ресурса на веб-страницу сервера авторизации в браузере, что позволяло владельцу ресурса войти в систему, затем дать согласие на области, а затем перенаправить обратно на URL-адрес перенаправления вместе с кодом авторизации. Этот поток был для меня черным ящиком, и я предполагал, что код авторизации принадлежит исключительно владельцу ресурса. Позже, заменив этот код аутентификации на токен доступа, я предположил, что токен доступа также является эксклюзивным для владельца ресурса.
Перенесемся вперед.
Недавно я начал работать над базой кода приложения для iOS, которая использует OAuth для регулирования доступа к ресурсам. В частности, мы используем Forgerock AM для управления идентификацией. Разница в том, что мы используем URL-адрес аутентификации, который не является веб-страницей, а URL-запросом http.
В коде я читаю следующий поток:

< li>Владелец ресурса вводит идентификатор пользователя и передает его в UITextField.
Учетные данные владельца ресурса отправляются в URL-запрос аутентификации, который возвращает идентификатор токена. ли>
Затем выполняется вызов HTTP-запроса authorize, где мы передаем идентификатор клиента, codechallenge, метод кода, поскольку мы используем PKCE. Эта конечная точка вернула код аутентификации.
В конце концов был выполнен еще один вызов конечной точки access_token с кодом авторизации, идентификатором клиента и кодеверификатором. , который возвращает токен доступа

Я был удивлен, что на третьем или четвертом шаге не были отправлены идентификационные данные или учетные данные пользователя. выше к запросам сервера аутентификации.
Если на эти конечные точки не отправлялось удостоверение пользователя, является ли мое предыдущее предположение о том, что код аутентификации и токен доступа принадлежат только одному владельцу ресурса, совершенно неверным?
Являются ли код аутентификации и токен доступа не является эксклюзивным для владельца ресурса, прошедшего проверку подлинности на втором этапе?

Подробнее здесь: https://stackoverflow.com/questions/792 ... urce-owner

1732908034

Anonymous

На прошлой работе в качестве разработчика iOS я использовал URL-адрес аутентификации для перенаправления владельца ресурса на веб-страницу сервера авторизации в браузере, что позволяло владельцу ресурса войти в систему, затем дать согласие на области, а затем перенаправить обратно на URL-адрес перенаправления вместе с кодом авторизации. Этот поток был для меня черным ящиком, и я предполагал, что код авторизации принадлежит исключительно владельцу ресурса. Позже, заменив этот код аутентификации на токен доступа, я предположил, что токен доступа также является эксклюзивным для владельца ресурса.
Перенесемся вперед.
Недавно я начал работать над базой кода приложения для iOS, которая использует OAuth для регулирования доступа к ресурсам. В частности, мы используем Forgerock AM для управления идентификацией. Разница в том, что мы используем URL-адрес аутентификации, который не является веб-страницей, а URL-запросом http.
В коде я читаю следующий поток:
[list]
< li>Владелец ресурса вводит идентификатор пользователя и передает его в UITextField.
[*]Учетные данные владельца ресурса отправляются в URL-запрос [b]аутентификации[/b], который возвращает идентификатор токена. ли>
[*]Затем выполняется вызов HTTP-запроса [b]authorize[/b], где мы передаем идентификатор клиента, codechallenge, метод кода, поскольку мы используем PKCE. Эта конечная точка вернула [b]код аутентификации[/b].
[*]В конце концов был выполнен еще один вызов конечной точки [b]access_token[/b] с кодом авторизации, идентификатором клиента и кодеверификатором. , который возвращает [b]токен доступа[/b]
[/list]
Я был удивлен, что на третьем или четвертом шаге не были отправлены идентификационные данные или учетные данные пользователя. выше к запросам сервера аутентификации.
Если на эти конечные точки не отправлялось удостоверение пользователя, является ли мое предыдущее предположение о том, что код аутентификации и токен доступа принадлежат только одному владельцу ресурса, совершенно неверным?
Являются ли код аутентификации и токен доступа не является эксклюзивным для владельца ресурса, прошедшего проверку подлинности на втором этапе? 

Подробнее здесь: [url]https://stackoverflow.com/questions/79231924/are-auth-code-and-access-token-exclusive-to-a-single-resource-owner[/url]

Ответить

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Вернуться в «IOS»