特别是关于OAuth2规范的快速问题 阅读该规范后，无论请求的格式如何，响应似乎都需要格式化为JSON。这是标准还是其他格式（如XML）也受支持？谢谢。来自规范第07版（来自变更日志）：“删除了对多种格式的支持，将JSON作为唯一的格式。”

我已经成功地让用户通过twitter oauth连接到我的web应用程序。我可以在用户登录后插入用户信息 我的问题是，现有用户每次单击使用twitter登录时，都会被重定向到twitter上的允许/拒绝应用程序屏幕 如何为现有用户跳过此步骤，使他们不必在每次登录时单击“允许” 我正在使用这个库： 谢谢。当用户授权您的应用程序使用其Twitter帐户时，Twitter会给您两个令牌：OAuthToken和OAuthTokenSecret 将这些令牌存储在cookie、设置文件或其他文件中 然后，下

我正在开发一个iPhone应用程序。此应用程序支持一项功能，用户可以将视频上载到YouTube帐户，该帐户由所有应用程序用户共享 当应用程序收到上传请求时，它会在内部登录到公共YouTube帐户并上传视频 据我所知，与非OAuth相比，OAuth是登录任何站点的安全方式。由于只有应用程序知道用户名和密码，因此不应向用户提示带有用户名和密码字段的登录对话框web视图 GData框架中是否有支持OAuth身份验证而不提示用户输入用户名和密码的机制，即使用硬编码用户名和密码的OAuth身份验证 编辑：

我最近为Gmail和雅虎开发了联系人。然而，我知道Twitter没有使用oAuth提供任何联系人（电子邮件）。所以，我想知道Facebook是否允许导入朋友的联系人 如果是，他们是否使用oAuth或任何其他身份验证方法Facebook不会通过API向您的朋友提供电子邮件地址 但我看到了从facebook到yahoo mail的直接联系人导入。我今天才这么做，我可以通过用户的用户名和密码来访问。虽然它不会像oAUTH authenticaton那样友好，但我仍然可以这样做吗？？？Facebook和

我正在使用Asp.NETC# 我想从oAuth2中检索事件列表，我有一个有效的令牌。 如何使用此令牌初始化服务 Events results = service.Events.List().Fetch(); 请不要向我发送本机应用程序示例。Google Api Dot Net客户端有一个示例。此示例使用任务Api，但身份验证部分应相同。如果您转到该页面，则会有一个链接下载所有示例，您应该能够使用Tasks.ASP.NET.SimpleOAuth2示例

我正在创建的网站可以将您的帐户与youtube帐户连接起来。在localhost上，这一点非常有效，但在step1tuts.appspot.com网站上，这一点不起作用。当我将用户从我的网站重定向到身份验证页面时，我收到以下消息： 无法显示您请求的页面。另一个网站是 请求访问您的Google帐户，但发送了一个格式错误的 要求请联系您在安装时尝试使用的网站 收到此消息以通知他们错误 处理此身份验证的代码如下所示： client = youtube.get_client() client.deve

我知道OAuth如何在浏览器中运行的web应用程序中工作，但我不确定OAuth如何在不在浏览器中运行的应用程序中实现 使用某种Web视图很容易显示URL，但是如何取回它发回的信息呢？我的研究并没有揭示一种简单的方法来做到这一点。有一些Java库可以做到这一点。（你在寻找一种特殊的语言吗？） Scribe可能是最成熟的Java库： 这里几乎每种语言都有更多的库：

我现在有了访问令牌，我想有一个刷新令牌，这样我就可以在需要时刷新我的访问令牌。 我使用了fallowing代码，但它返回了错误响应 **OAuthRequest request = new OAuthRequest(Verb.POST, "https://accounts.google.com/o/oauth2/token"); request.addBodyParameter("grant_type", "refresh_token"); request.addBodyPa

使用新系统时，当使用facebook帐户登录facebook软件包时，如何获取facebook访问令牌？从Meteor获取。方法： // server Meteor.methods({ getAccessToken : function() { try { return Meteor.user().services.facebook.accessToken; } catch(e) { return null; } } }); // cl

在Google API的开发者控制台中，我创建了一个启用了Google日历服务的项目。 我想创建一个Java应用程序，每24小时连接一次谷歌日历（使用cron作业） 现在，我用弹出窗口创建了客户机Id，选择了已安装的应用程序，下载了JSON，我的Java应用程序开始工作。现在我想知道这个JSON文件的有效期是多久？直到我重置客户端密码？这是一个需要每24小时运行几年而不需要交互的应用程序。供将来参考： 如果使用“已安装的应用程序”api客户端代码。它将保持有效，直到您在控制台中重置客户端凭据

live.com OAuth中撤销访问令牌的url或请求是什么？ Google Oauth上的类似请求是： POST https://accounts.google.com/o/oauth2/revoke?token=%access_or_refresh_token% 从这个链接：，撤销同意似乎是一个手动过程，即使如此，它也不会立即撤销令牌

（部分：刷新访问令牌） 这段话说 LinkedIn访问令牌可在60天内刷新 另一方面，它还表示客户端应用程序可以跟踪令牌创建日期，并将其与值为（秒）的oauth\u expires\u进行比较，并在需要时刷新令牌 然而，当我调用请求令牌端点时，我只得到oauth\u expires\u in=599（secs） 检索请求令牌时： oauth\u-token=xxxxx&oauth\u-token\u-secret=xxxxx&oauth\u-callback\u-confirm=true&xau

在我们公司，我们有一个外部网络服务，可以查看、编辑和下订单。我们也有不同的第三方网站需要访问此web服务，但有些第三方网站不允许下订单，只能查看订单 我可以使用oauth对第三方网站进行身份验证吗？我们的高级开发人员建议使用oauth，但根据我对oauth文档的阅读，它讨论的是资源用户可以允许第三方访问服务器。我有点困惑。我们能够使用oauth来解决我们的问题吗？是的，这可以通过oauth来完成。OAuth“scope”参数用于告诉给定的OAuth访问令牌可以做什么（授权）。您需要做的是在服务a

我一直试图完全理解谷歌API，这样我就可以使用Javascript从谷歌电子表格中获取数据 我正在使用jQuery和D3.js创建一个图表，我想无缝地提取数据，而不必将用户重定向到授权页面。我知道我需要使用OAuth，但是我找不到任何例子说明如何通过AJAX调用无缝地实现这一点 这并没有提到任何让用户觉得我不需要OAuth对话框就可以完成的事情。要获得私人电子表格页面，您必须进行授权。有关Google电子表格的完整工作OAuth调用，请参阅。我用它创建了一个使用谷歌电子表格的工作数据库 另一种

我是安全领域的新手，所以不知道在这里问这个问题是否有效。我目前正在使用OpenAM来确保我的web应用程序与J2ee代理的安全性，现在我发现OpenAM可以使用OAUTH以及根据定义的策略进行授权，现在OpenAM和OAUTH都为有效用户开发令牌，并且不与应用程序共享用户凭据，那么两者有多大区别呢？我的第二个问题是，如果我的应用程序不支持oauth，比如google和facebook，那么我需要做些什么来将oauth实现到我的应用程序中。OpenAM支持基于oauth的授权，如果这正是您的困惑所

我有一个谷歌应用程序脚本，可以从我的谷歌日历中获取约会，将它们复制到谷歌工作表中，转换成XLS并发送电子邮件。直到本周，它一直运转良好 function getSSAsExcel(ssID) { var format = "xls"; //var scope = "https://spreadsheets.google.com/feeds/"; var scope = "https://docs.google.com/feeds/"; var oauthConfig = Url

我目前正在用LinkedIn实现OAuth，遇到了一些问题。我想我已经克服了大部分困难，但还有两个问题没有解决 当我发出OAuth请求时，我会被重定向到LinkedIn的身份验证页面。在这里，LinkedIn问我是否自动调整应用程序的大小以访问一些信息，它让我知道它是什么信息。如果我更改scope参数，那么存在的列表确实会更改，所以我猜LinkedIn收到的是OK。也就是说，scope='r\u fullprofile'要求我提供完整的个人资料，scope='r\u fullprofile，r\

我见过几个API使用OAuth 2.0进行身份验证，它们使用密码授予类型。我觉得这有点令人困惑，因为： 典型的OAuth 2模型的一个巨大优势是，应用程序不需要为所连接的服务处理用户的用户名/密码。授予类型密码失去了这一优势，所以我不确定为什么要在基本身份验证上使用它，特别是因为在使用授予类型密码以纯文本形式发送凭据时，Basic至少对凭据进行了编码 我缺少什么使这种OAuth成为有效的用途？正式名称是资源所有者密码凭据授予；它只是一种迁移机制，而不是主要的OAuth 2.0流，因为OAuth的

当用户之前通过Google认证时，它会自动默认在随后的尝试中使用该帐户登录。我想消除这一点，并强制弹出/重定向，以便拥有多个google帐户的用户可以选择使用哪个帐户。怎么做 背景： 事实证明，自动登录功能对我来说是个问题，因为我有一套白名单上的电子邮件，供允许使用我的应用程序的用户使用。如果Google用户在首次登录时选择了错误的帐户，他们将无法返回并选择与其白名单电子邮件关联的帐户。当您调用oAuth函数时，您可以传递第三个选项参数，使身份验证仅在会话中持续。这应该能解决你的问题 var r

我有一个web应用程序，允许用户使用他们的Google帐户登录，并在Google日历上创建活动。但是，我只希望一个特定的用户编辑/删除日历中已经存在的事件，而所有其他用户只能将事件添加到日历中 Outlook上存在与此类似的权限，该权限名为“非编辑作者”。谷歌日历是否也有相同的功能？events.insert和events.update/events.patch都需要 对日历的读/写访问权限 从技术上讲，用户可以读取和写入日历的任何部分，而不仅仅是事件。您的应用程序将不得不限制访问。日历api不

我们有一个运行良好的ID3设置和三个与openId连接的web应用程序（具有外部登录支持）。另一个运行第三方Saml ID federater的安装程序支持4个web应用程序，这是我面临的挑战。是的，问题来了：两支球队（英国队和俄罗斯队）如何合作 如果我的回答正确，Id3可以在单个web应用中支持两个控制器（mvc for forms authentication+api with token authentication），其中Id3可以在单个安全上下文（HttpContext）中将令牌联合到

我正在尝试从一个前端服务器续订O-Auth证书，但我遇到了一些问题 使用Lync Server 2013部署向导从内部CA请求O-Auth证书时，该过程进展顺利，但最终不会更新当前证书 我可以看到相同的证书被复制到其他FEs（这是默认行为），它也无法应用到其他FEs。我可以在每个FE中看到以下事件日志 The replication of certificates from the central management store to the local machine failed due

我正试图编写一个脚本，将添加G套件帐户，但我想这样做，而不是重定向到谷歌授权每次提交的形式。有没有在脚本中进行授权的方法？我尝试使用API密钥进行授权，但出现401错误-需要登录 使用oAuth并被重定向到Google works： from __future__ import print_function from googleapiclient.discovery import build from httplib2 import Http from oauth2client import

我们的许多用户通过Google OAuth API（）进行身份验证 2019年4月之后，谷歌版本OAuth API的未来是什么 撇开OAuth不谈，我们使用以下端点来获取用户的电子邮件和姓名：一旦获得访问令牌。此端点是否已过时？更新12/21/18 [结束更新] OAuth2.0是由Google帐户提供的服务。Google+生命的终结不会影响OAuth 2.0 OAuth2是谷歌云平台、G套件等多种服务的基础认证服务。OAuth2.0是基于令牌的，这些令牌可以用于各种服务，包括基于Googl

当使用OAuth2更新客户机的访问令牌时，客户机可能有一个刷新令牌，我在这里看到一些不一致的地方： 您是否应该在每次访问令牌更新请求时更新刷新令牌并使旧令牌无效或您是否应该继续发送相同的刷新令牌？如果是，我们何时更改它？我们是否要更改它？这取决于您使用的授权服务器。从OAuth 2.0规范的角度来看，在令牌刷新响应中发送新的刷新令牌是可选的 从 授权服务器对客户端进行身份验证，并验证 刷新令牌，如果有效，则发出新的访问令牌（和， （可选）一个新的刷新令牌 因此，这将取决于具体的实施。授权服务器的

我正在尝试使用Azure AD OAuth为某些用户组分配Grafana中的管理员角色 我可以使用以下文档使用Azure AD凭据成功登录： 根据此页面，我需要在某处包含角色\属性\路径： role_attribute_path=contains（信息组[*]，“管理员”）和&“管理员”| contains（信息组[*]，“编辑器”）和&“编辑器”|“查看器” 有人使用Azure AD登录获得了角色分配的工作示例吗？我刚刚获得了这个示例，以使用KeyClope作为我的OIDC提供程序。这需要捕获

我正在构建NetSuite和PayTrace信用卡处理服务之间的集成。我从PayTrace获得身份验证密钥没有问题。但是，由于某种原因，当使用NLAPIRestUrl（url、postData、headers、httpMethod）发送请求时，我收到一个401错误，响应头信息中的“访问令牌无效”。但是，如果我在Postman中使用相同的令牌发出相同的请求，它将正常工作。下面是我添加到请求中的请求头示例（如PaytraceAPI文档中所示）： 邮递员是否可能正在添加允许NetSuite不允许的正确

我目前正在寻找一种方法，使用已经给定的id令牌（oauth或更好的oidc）登录Twitch API，无论是否使用NodeJS后端 背景：我正在使用firebase连接到Twitch API旁边的各种服务，如Youtube（谷歌API）、Twitter和Co。我想为每个服务使用我的id令牌 官方文件没有说明这是否可能，或者我就是找不到。 希望有一个解决方案尚未记录在案 使用其他服务时，我也会遇到同样的问题 非常感谢我不确定“id令牌”到底是什么，但我将使用“twitch用户id和访问令牌” 如果

我正在学习OAuth/introspect端点作为验证访问令牌的方法。我使用的是Okta，我认为这与问题有关 （例如，OAuth客户端将调用资源服务器，提供访问令牌，资源服务器将调用/introspect端点以确保令牌有效） 但是，/introspect端点（）要求您提供OAuth客户端凭据（作为基本身份验证头，或者在没有客户端机密的情况下，只提供一个客户端id请求参数） 那么，当资源服务器没有OAuth客户端ID和/或secret时，它如何调用/introspect端点呢？这让我想知道，/in

我正试图将我的整个应用程序隐藏在身份验证之后（当这起作用时，我将处理授权问题），现在我希望每个url都需要github登录。我没有打开github登录页面 我曾尝试将and组合在一起，但我没有获得github登录页面（我只在遵循Saturn指南时获得了该页面），我只获得了正常的todo页面。如果单击“添加”按钮，服务器将打印 info: Microsoft.AspNetCore.Hosting.Diagnostics[1] Request starting HTTP/1.1 POST

在什么情况下（除了有人撤销更改gmail密码的权限），用户需要重新授权应用程序访问其gmail数据？我的应用程序存储并使用刷新令牌来维护当前访问令牌，但偶尔仍会要求我的用户从头开始授权，有时这会失败，并且只有在他们重置浏览器设置时才能再次工作。导致刷新令牌过期 用户撤销访问 用户使用gmail scope更改密码和密码 刷新令牌已六个月未使用 一个用户最多可以有50个未完成的刷新令牌。因此，如果用户请求一个新的刷新令牌，通常要确保存储最新的，因为一旦你点击51，最旧的可用令牌将过期 应该是这样的

我刚切换到OAuth 我正在使用 OAuth示例代码来自 单用户令牌 帐户设置为读写。我正在测试3个帐户：测试、新闻和作业 我还配置了我的子域 测试很好，新闻不起作用，工作有时起作用 当它失败时，我得到一个错误 我确实试图删除并重新创建应用程序 我的主要问题是为什么它有时有效而其他时候无效？是我的错还是twitter有问题 另一个可能与此无关的问题是，当我查看我的tweet时，无论是否登录，我都看不到相同的tweet。它什么时候不起作用？它不适用于特定的API方法吗？它是一致的吗？Twitter

我一直在搜索文档，像个疯子一样在谷歌上搜索，但我找不到paypals sandbox的sandbox openid端点/标识符。我有一个高效的url，但要使用它，我需要一个经过批准的应用程序。 在我匆忙创建应用程序之前，我只想测试一下流程。我终于从PayPal那里得到了答案：OpenId/Oauth的东西现在是封闭测试版

我正在请求头中设置oauth_回调URL，当我在Twitter中这样做时，它工作正常，用户被重定向到回调URL。但是使用Tumblr的API，回调URL被忽略，用户被重定向到默认URL。还有其他人经历过吗？除了标题，还有其他地方需要我设置吗？我试着把它作为一个参数传入，但也没有真正起作用 任何帮助都将不胜感激。Tumblr这样做（我想）是为了安全。它们要求在应用程序注册时定义回调URL，并且不允许在实现过程中覆盖回调URL 安全问题是确保没有人可以窃取您的应用程序令牌，并尝试使用它来利用您的声誉

我在Liferay 6.1 b4页面上添加了一个Jira 4.2小工具。在Jira管理员区域为Liferay设置消费者和公钥。在OpenSocial portlet中指定了相同的。我仅在localhost上进行了尝试，但任何时候都会出现以下错误： {oauthError:UNKNOWN_PROBLEM，body:，oauthErrorText:无法检索使用者密钥\n\n===原始请求：\nGET/rest/gadget/1.0/currentUser？cacheBuster=1323789929

我发现，在将服务连接到twitter/facebook时，有时应用程序会将用户访问令牌存储在服务器中。这样做最常见的目的是什么？我读了好几篇twitter/fb文档，但似乎不明白。Twitter还有一个xAuth，它基本上可以为您提供用户“访问令牌”，那么这样做的目的是什么呢？您不希望第三方冒充用户。您需要签名的事务，以便验证真实性 如果某个应用程序刚开始在你的墙上贴狗屎怎么办？这有一个非常明显的目的 您的应用程序在发出已获得用户批准的API请求时必须提供令牌。这就是OAuth的用途。您不希望第

我有一个项目规范，该项目以REST方式访问第三方远程API，并且需要oAuth。规范包括以下文本： 访问API需要使用OAuth协议。A. 每个组织共享密钥/访问密钥组合防止 未经授权方的访问。因为服务端点 识别组织，预计不需要其他参数 传入封装REST请求的OAuth头 关于这一点，我不完全理解以下内容： 因为服务端点 识别组织，预计不需要其他参数 传入封装REST请求的OAuth头 oauth_*参数可以在授权标头中传递，也可以作为URL参数传递。我认为这句话的意思是，如果您在Authori

我想创建一个Blackberry Playbook webworks应用程序，使用oauth库链接到twitter。如何使用Javascript在应用程序中创建一个弹出窗口来显示Twitter授权页面 我似乎无法使用iframe，因为Twitter的代码似乎可以根据我读到的内容检查它是否是从iframe运行的。这似乎不可能，但通过我找到了一个扩展来完成这项工作。还有一个名为的应用程序演示了如何使用它。相关琐事：由于存在点击劫持的风险，使用iframe的可能性被禁用。

因此，Egor公开了任何人都可以使用oAuth轻松地攻击那些实现oAuth很差的服务 Shopify是否意识到这一点，并且Shopify是否可以声明他们对oAuth的使用是安全的 您可以在登录提供商身份验证页面后检查重定向到哪个URL。如果它有一个状态参数，其中包含一些随机值，则它们可能不会受到影响。如果他们错过了，他们可能会受到影响。虽然你不能确定

嗨，希望有人能帮上忙。我有一个生日提醒应用程序，可以获得通常的权限，包括离线访问等 该应用程序需要在我的服务器上运行每日cron作业。 当我运行cron文件时，收到以下错误 致命错误：未捕获OAuthException:无效的OAuth访问令牌签名。在第1140行的blah/base_facebook.php中抛出 <?php $name = 'api'; if (isset($READ_ONLY_CALLS[strtolower($method)])) {

我正在寻找一种解决方案，让我的客户能够访问我们的应用程序，而不必实际登录到我们的应用程序（从用户的角度来看） 这里是流程图 用户登录到客户端应用程序APP1 用户单击APP1中的链接，该链接应将用户带到我们的应用程序APP2 APP2应该验证用户详细信息，如果用户在我们的数据库中不可用，则创建用户并转发到请求的资源请注意，此时没有APP1，APP2将接管UI。 用户可以单击APP2中的链接，该链接应将用户带回APP1 我们可以使用OAuth实现这一点吗？我看到的所有实现都是这样的，用户在这两个应

我已经创建了一个LTI工具，正在与moodle集成。我已经创建了使用者密钥和密码，但我不确定如何验证（验证）启动请求 这是我正在接收的原始请求，所以我猜我需要验证oauth_签名来验证请求。我遇到了一些例子，但我也需要oauth令牌，但它没有在启动请求中返回 我真的很感激任何帮助 POST http://ltitest.cloudapp.net/launch HTTP/1.1 Host: ltitest.cloudapp.net User-Agent: Mozilla/5.0 (Windows

我正在尝试调整此处所示的WebAPI示例，以便在MVC5中使用： 我有一个常规的基于AccountController的登录系统，但我还需要用户通过OAuth登录到PowerBI，这样我就可以通过PowerBIRESTAPI获取数据集。但是，我将ClaimsPrincipal.Current.FindFirst（..）设置为null private static async Task<string> getAccessToken() { // Cre

我已经运行了更多次来获取oauth访问令牌以进行测试。我越过了极限。现在，我尝试以任何一种方式删除访问令牌GUI或代码。我得到了以下信息 This user has exceeded the number of active access tokens this role. 设置为非活动后，我可以再次获取访问令牌。但如何在GUI模式下删除这些活动和非活动令牌 设置->用户/角色->访问令牌->新访问令牌 1） 设置->用户/角色->访问令牌（单击访问令牌 链接本身） 2） 您将列出用户及其令牌

我们正在与Khan Academy连接我们的应用程序，在授权请求令牌后，我无法获得正确的重定向。我总是得到默认回调和主体“OK”，并且永远不会被重定向回oauth回调中指定的位置 我在浏览器中遇到一个javascript错误，我想知道这是否是问题的根源。下面是我们的授权调用示例（成功获取请求令牌后）： 我得到的Javascript错误是： /genfiles/javascript/en/shared-package-8caf31.js:94 Uncaught TypeError: KA.stat

我们可以通过php代码向谷歌控制台开发者注册OAuth重定向URI吗？ 通过PHP代码我们如何添加超过1个OAuth重定向URI，我不需要从console.developers.google.com手动添加它。不，你不能。你必须手动编写它 我想是因为安全原因。如果发生某种攻击，或者错误的人会得到您的代码，他可以在代码中更改开发人员控制台中的所有内容。他永远也做不到 有关详细信息，请参见不，您不能。您必须手动写入 我想是因为安全原因。如果发生某种攻击，或者错误的人会得到您的代码，他可以在代码中更改

因为可以使用Google帐户登录Evernote。但是，第三方应用程序似乎无法访问此功能-OAuth期间使用的弹出对话框要求提供电子邮件地址或用户名，并且没有“使用谷歌登录”按钮： 这是故意的吗？目前，由于缺少此功能，Evernote用户无法使用其Evernote的Google帐户对第三方应用程序进行身份验证。有没有可能在OAuth期间为第三方应用程序使用Google登录？这不是故意的，而且肯定会令人困惑 现在，要使用谷歌登录，您需要单击“创建新帐户”链接，然后单击“使用谷歌注册”按钮。如果用

下列API列表是否也已弃用 那些不是API，它们是，而且它们没有被弃用。这些作用域将继续使用它们设计用于工作的API 注意：作用域定义了授权过程中对给定API的授权访问范围。使用api时，您对该api的访问仅限于您在对用户进行身份验证和授权时请求的作用域授予的权限 实际不推荐的内容 正在关闭的最常用API包括： Google+restapi Google+WebAPI 谷歌+安卓SDK 谷歌+域名API Google+页面API 作为这些变化的一部分： 从3月7日开始，所

我知道（在OAuth中使用授权代码“authorization code”时），访问令牌的生存期应该很短，但刷新令牌的生存期可能很长。 因此，我决定为我的项目： 访问令牌生存期：1天 刷新令牌生存期：30天 但授权代码的典型生命周期是什么？ 我说的应该非常非常短，对吗？ 大概一个小时甚至几分钟 我找不到这方面的任何“最佳实践”..所有这些都是标准的，但在大多数identity/auth服务器上都是可配置的 授权码 当用户同意应用程序访问其数据时，将返回一个授权码。此代码通常只在5分钟内有效。

我无法使用我的商务笔记本电脑上的KeyClope通过SMTP发送电子邮件。如何在独立的Keyclope服务器中更改EmailSenderProvider？EmailSenderProvider类位于Keyclope服务器spi private模块/jar中，这意味着它不应该被自定义实现替换。您可以实现的spi都在keydape服务器spi模块中