問題タブ [oauth2]

AngularJS で Spring RESTful API バックエンドとクライアントを使用してアプリケーションを作成する予定です。

Spring RESTful API を Google OAuth2 認証サーバーで保護したいと考えています。

アーキテクチャに関する質問があります:

Google で認証が成功すると、Google OAuth2 認証サーバーから accessToken を受け取ります。この accessToken をクライアント アプリケーション (AngularJS) に転送する必要がありますか、またはバックエンド アプリケーション (JWT など) に独自のセキュリティ レイヤーを導入し、Google accessToken に基づいて独自の jwtToken を発行し、このトークンのみをクライアントに転送する必要がありますか?アプリ ？

つまり、Google からクライアントの AngularJS アプリに accessToken を表示し、それを自分の RESTful API での認証に使用しても安全ですか?

また、RESTful API の場合、クライアント アプリケーション (AngularJS) から安全な RESTful API を呼び出すたびに、Google Auth サーバーで Google accessToken を検証する必要がありますか?

Mailchimp OAUTH2 サンプル アプリ (PHP) を使用しようとすると、次のエラーが発生し続けます。

参考までに、 https ://github.com/mailchimp/OAuth2-sample-apps の github リポジトリをご覧ください。

ただし、クライアント ID とクライアント シークレットは正しいです (複数回コピーして貼り付けました)。

もしお役に立てれば、私は Yii 2 フレームワークを使用しています。

Web アプリとして公開された Google Apps Script を呼び出す Android アプリを開発しています。このスクリプトは高度な Google サービスを使用しています (たとえば、Fusion Tables API を有効にしました)。

追加するときに開発者コンソールで何を選択すればよいかわかりません。

Android を選択すると、承認フロー (OAuth とアクセス/更新トークン) はうまく機能しますが、スクリプトに投稿すると、答えは次のようになります。

私は何を間違っていますか？

このエラーは、ローカルまたはオンラインのベータ環境では発生せず、本番環境でのみ発生することをもう一度述べておきましょう。3つのサーバーすべてが同じ次の環境変数を共有しているにもかかわらず:

この方法を使用して本番環境で reddit アクセス トークンをリクエストしようとすると、次のようになります。

$response->getBody()が に等しいため、アプリのフローを中断する例外が発生しinvalid_grantます。

しかし、異なる環境で正確に類似した資格情報を使用し、Postman を使用するだけでも、応答で有効なアクセス トークンを受け取ることになるため、なぜ無効なのかわかりません。何が起きてる？

私は学部生で、すべてが初めてです。ログインしてユーザーを登録し、パスワードの回復オプションを備えた Web サイトを作成することを考えています。また、Googleなどを介したOauth2のオプションもあります...

また、特定の一連のサービスに対する支払いを受け入れます。

支払いを処理する必要があるため、セキュリティ上の目的とセットアップの高速化のために、Joomla、Drupal などの CMS を使用する必要があります。または、この目的のために何か他のものがあります。

Magentoがzipを追加してデータベースのユーザー名とパスワードを提供するだけで、データベースの完全な暗号化によりユーザー管理が数分で行われるようなものを探しています。

PS どんな難しいものでも簡単なものでも私にはうまくいきます。それは無料である必要があり、言語は障壁ではありません...

完全に理解できない 2 つの質問があります。誰かが明確に説明してくれることを願っています。

1: 有効なコードとスコープ「access_userdata」を使用してアクセス トークンを要求します。アクセス トークンはデータベースに保存され、有効期限は 10 日間です。アクセストークンに新しいスコープを追加することはできますか? それは一般的ですか？または、すべてのスコープをアプリに直接リストして、ユーザーが承認する必要がありますか? 可能であれば、アクセス トークンを調べて新しいスコープを追加しますか?

2: コンピューターとタブレットで使用するアプリケーションを作成したとします。まず、10 日間の有効期限が設定されたアクセス トークンをコンピューターで取得します。翌日、タブレットで同じことを行います。新しいアクセス トークンは生成されますか? それとも、あなたがコンピューターと同じユーザーであり、トークンがまだ期限切れになっていないため、サーバーは同じトークンを返しますか? 同じユーザーに対して複数のアクセス トークンを使用できると思いますか?

私は死んで迷っています:)

目標は、OAuth2 を使用する Web サイトにログオンすることです。ただし、実行する必要があるセクションには、API が関連付けられていません。そのため、ユーザー名とパスワードを使用してログインし、問題のページに移動してスクリーン スクレイプを実行してデータを取得する必要があります。

このキーボードに座っている Web サイトに問題があるのではないと確信しています。しかし、私は例を検索し、たくさんの推測を試みましたが、何も機能していません

助けはありがたく受け入れられます。