問題タブ [oauth-provider]

目標: Zend Framework Web アプリケーション内で使用する Oauth プロバイダーを作成する。

ここまでのプロセス: Zend Framework OAuth クライアント (ZF 1.12) を Google Code OAuth クラスと統合しました [http://code.google.com/p/oauth/]。www サイトでクライアントとして使用する ZF クライアント、API サイトの認証ラッパーで使用する Google コード OAuth。

ソリューションを機能させるための支援を探しています。

URL に GET パラメータがあり、両方のフレームワークが異なる署名を生成して認証を破る場合を除き、このソリューションは基本的なリクエストに適しています。

サンプルコード www:

サンプル コード API:

Zend_Oauth_Token_Access は、oauth クラスがすべてのパラメータを考慮するカスタム パラメータ (上記の「?q=」を参照) を無視しているようです。これは、パラメータがない場合、両方のシステムが同じ署名を生成することを意味します。

Zend Oauth クライアントに GET パラメータを考慮させることができないようです。

助けてください？

asp.net 4.5 テンプレートで、google pass 以外のすべての認証サンプルが secret と clientid にあることに気付きました。Google シークレットとクライアント ID を渡すにはどうすればよいですか? Brock は、私がフォローしているここで良い議論をしています:

http://info.develop.com/blogs/bid/232864/ASP-NET-Using-OAuthWebSecurity-without-SimpleMembership#.UNuBh2_Adv9

テンプレートに付属するサンプルコードは次のとおりです。

私が作成した API の oauth2 ソリューションを実装していますが、潜在的な安全性の問題 (または少なくとも私の理解) に苦労しています。

単一のトークンのみが生成され、エンドポイント要求の認証資格情報として使用されるのは正しいですか。トークンが有効で使用されることを期待して、攻撃者が単純にトークンを API に送信する潜在的なブルート フォース攻撃を阻止するものは何ですか?

私はおそらく何かを誤解していますが、それが何であるかを理解することはできません。

Apache リバース プロキシの背後で PHP (PECL パッケージ) の OAuth プロバイダーを使用しようとしています。

クライアントが使用する

しかし、私のoauthプロバイダーは受け取ります

署名を検証できないため、リクエストは失敗します

この問題を解決する方法について何か考えはありますか?

マルチテナント方式で実行されているプラ​​ットフォームがあります。そのため、シナリオでは Tenant を親、Users を子としています。Oauth 認証スキームを使用して、そのプラットフォーム (現在 SOAP サービスがあります) で Rest API を開発しています。

サードパーティが開発する各アプリでアクセス トークンをどのように生成するのか知りたいです。ユーザーごとですか、それともテナントごとですか? つまり、User2 が Tenant1 の App-A へのアクセスを許可した場合、User1 が App-A を使用したい場合、アクセス ダイアログを許可する許可によってプロンプトが表示されないということですか? 両方のユーザーが同じテナントに存在します。

私はアプリケーションを作成していますが、Glassfishfoでユーザーログインを処理するカスタムログインモジュールを使用した経験しかありません。Cloudbeesクラウドにデプロイする場合、カスタムログインモジュールを提供することは不可能だと思いますよね？たとえそうだとしても、私は本当にその方法を使いたくないと思います。アプリケーションを保護したり、ユーザーアカウントを持ったりするために、どのようなメカニズムを使用していますか？OAuthプロバイダーを使用している場合、自分で作成しましたか？もしそうなら、私が同じことをすることができるように私に例を教えてもらえますか？

ありがとう。

Web サイト 1に OAuth/OpenID を実装し、それをWeb サイト 2で使用したいと考えています。

Web サイト 1のサインアップ、サインイン、サインアウト、プロファイル機能/ページを作成し、 Web サイト 2で Facebook や Twitter 認証のような認証を使用したいと考えています。

追加情報として、興味を持った場合は、ウェブサイト 1とウェブサイト 2の試用サイトにアクセスできます。上で述べたように、それらはまだ試用版であるため、完全な機能または正しい機能を期待しないでください。

PS OAuth を使用することにしました。OpenID のことは忘れてください。

GlassFish 3.1.2 コンテナーの jersey-oauth 1.16 contrib に基づく OAuth サーバーの実装に取り​​組んでおり、Scribe クライアント API 経由で接続しようとすると、この例外が発生します。

https://wikis.oracle.com/display/Jersey/OAuthは、「OAuth Core 1.0 仕様で概説されている署名方法をサポートしています: HMAC-SHA1、RSA-SHA1、および PLAINTEXT」と述べているので、混乱しています。設定ミスの問題はありますか? 提案/ポインタ/アイデアは大歓迎です。ありがとう！

API をセキュリティ メカニズムとして保護するために、oauth 1.0 プロバイダーの実装を使用しています。

Oauth テスト クライアントを使用してトークンを要求し、アクセス トークンを承認して取得していますが、問題なく動作しています。しかし、そのような機能を提供していないため、それを使用して保護されたリソースにアクセスできません。

そこで、Netflix クライアントを使用して oauth プロバイダーの呼び出しを生成しようとしました。しかし、そのような呼び出しを実行しようとすると、成功しませんが、HTTP Status 401 - Invalid signature for signature method HMAC-SHA1 が表示されます。署名を手動で生成しようとしましたが、いくつかの自動メソッドを使用しましたが、すべて同じエラーで終了しました。

私が間違っていることを教えてください。または、良い資料を紹介していただくか、解決策を提案していただけますか? どんな助けでも大歓迎です。