【问题标题】:WSO2IS:Token generated with grant_type value password of one user, coming active for another usersWSO2IS:使用一个用户的 grant_type 值密码生成的令牌,对另一个用户有效
【发布时间】:2019-04-22 06:47:43
【问题描述】:

我正在开发 WSO2IS 5.6.0,以使用服务提供者配置为多租户(每个租户拥有一个或多个用户)Web 应用程序生成和验证访问令牌。

生成令牌请求: 网址:https://localhost:9443/oauth2/token 方法:POST 标头:内容类型:应用程序/x-www-form-urlencoded 授权:client_credentials 身体: 授予类型:密码 用户名: 密码:

验证令牌请求: 授权基本: 标头:内容类型:应用程序/x-www-form-urlencoded 正文:令牌:

一切正常,但在验证从一个用户凭据生成的令牌时,另一个用户也会激活。 我应该做什么来生成/验证基于用户的令牌。

请给我建议。

【问题讨论】:

    标签: java oauth-2.0 wso2is


    【解决方案1】:

    希望您的问题是作为令牌验证请求的授权标头发送的凭据,并且为验证发送的令牌不属于同一用户。

    根据OAuth 2.0 Token Introspection

    为了防止令牌扫描攻击,端点还必须需要某种形式的授权才能访问此端点,例如 OAuth 2.0 [RFC6749] 中描述的客户端身份验证或单独的 OAuth 2.0 访问令牌,例如 OAuth 中描述的不记名令牌2.0 承载令牌使用 [RFC6750]。管理和验证这些身份验证凭据的方法超出了本规范的范围。

    因此,需要使用某种身份验证机制来保护自省端点。 WSO2 Identity Server 支持使用用户名/密码和承载身份验证的基本身份验证。但是我们不能期望获得与 Authorization 标头相同的用户凭据,因为在验证令牌时,无法获取令牌所有者的凭据或属于该用户的活动令牌。

    因此,Identity Server 需要具有/permission/admin/manage/identity/applicationmgt/view 权限的用户的凭据来授权端点。

    详情请参阅WSO2 Documentation

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2013-03-07
      • 1970-01-01
      • 2021-09-08
      • 1970-01-01
      • 2019-12-25
      • 1970-01-01
      • 1970-01-01
      • 2019-04-13
      相关资源
      最近更新 更多