6
Wdrażam serwer dostawcy OAuth 2.0 przy użyciu frameworku Apache Oltu, szukając pomysłu na generowanie tokena dostępu i tajnych tokenów w java. Proszę doradź.OAuth 2.0 Generowanie tokena i tajnego tokena
A
Odpowiedz
14
OAuth 2.0 specification nie mówi nic o tym, jak wygenerować token i tajny token. Zatem od ciebie zależy, czy użyjesz istniejących/zakotwiczonych danych do wygenerowania tokenów, czy chcesz użyć losowej sekwencji do wygenerowania tokenów. Jedyna różnica polega na tym, że jeśli używasz prawdopodobnie znanych danych (np. Danych użytkownika, takich jak nazwa użytkownika, data utworzenia itd.), Możesz przywrócić tokeny w dowolnym momencie. Jeśli używasz losowej sekwencji danych, nie możesz przywrócić tokenów, gdy zostaną utracone.
Innymi słowy, RFC nie ogranicza procesu generowania.
Prawdopodobnie użyłbym konkatenacji ciągów danych Szczegóły użytkownika plus losowe dane, a następnie kodowania Base64.
String keySource = username + creationDate + random;
byte [] tokenByte = new Base64(true).encodeBase64(keySource.getBytes());
String token = new String(tokenByte);
+1
dzięki za sugestię, moim wymaganiem jest posiadanie samodzielnego tokena zawierającego informacje takie jak identyfikator klienta, identyfikator aplikacji itp. Oraz tajny token, który może być użyty do odszyfrowania wydanego tokena i uzyskania informacji w tokenie. zaproponuj mi jakiś sposób, aby to osiągnąć. – willsteel
+1
Następnie można utworzyć token, który jest identyfikatorem klienta, identyfikatorem aplikacji itp. Wygeneruj tajny token i zapisz go w DB. I użyj algorytmu DES do zaszyfrowania/odszyfrowania wydanego tokena za pomocą tajnego tokena. Oto przykład użycia DES: java http://java-espresso.blogspot.com/2011/09/des-algorithm-code-in-java.html – Sqeezer
+0
Dziękuję, że właśnie tego szukałem, mogę sugerujesz niektóre z innych algorytmów, które są bardziej bezpieczne niż DES i mogą być użyte do mojego wymagania? – willsteel
Powiązane problemy
- 1. Generowanie tokena w kontrolerze
- 2. OAuth: przechowywanie tokena dostępu i tajemnicy
- 3. Co zrobić po odzyskaniu tokena twitter oauth?
- 4. Generowanie tokena karty testu paskowego do testowania
- 5. Odwołanie Odebranego tokena
- 6. Czy wydanie nowego tokena OAUTH Github wygasa wszystkie poprzednie?
- 7. Dostosowywanie kodu statusu HTTP OWIN/OAuth podczas odrzucania żądania tokena
- 8. Facebook PHP SDK - wykres zwrócił błąd: Nieprawidłowy dostęp OAuth tokena
- 9. Żądanie nowego tokena dostępu za pomocą odświeżania tokena w przydzieleniu nazwy użytkownika i hasła w Spring Security OAuth2
- 10. Jak ustawić (OAuth tokena) upoważnienie nagłówku żądania Android OKHTTPClient
- 11. Problem bezpieczeństwa tokena Trello?
- 12. Get produkcja APNS tokena
- 13. JWT odśwież przepływ tokena
- 14. Scala: Przetwarzanie dopasowania tokena
- 15. Generowanie tokena jednorazowego użycia w PHP: random_bytes lub openssl_random_pseudo_bytes?
- 16. Tworzenie własnego tokena SAML
- 17. Przedawnienie i odnowienie tokena Facebooka, z Koala i omniauthem-facebookiem
- 18. Android i OAUTH 2.0
- 19. Laravel 5 i Internet Explorer: Niezgodność tokena
- 20. HTTParty i autoryzacja za pomocą tokena
- 21. FB wymiana tokena API brakuje redirect_uri
- 22. (JAVA) Google API analytics - nie można uzyskać nowego "tokena dostępu" za pomocą "odświeżania tokena"
- 23. Spring Security 3.2 Uwierzytelnianie tokena
- 24. Ukrywanie tokena GitHub w .gitconfig
- 25. Przekazywanie tokena csrf na pasek
- 26. Przepływ tokena na okaziciela JWT
- 27. Ocena tokena preprocesora przed ## concatenation
- 28. Liczba wystąpień tokena w pliku
- 29. Wyjątek wyjątkowego tokena menedżera okien
- 30. Bigramy tokena indeksującego w Lucene
Śledź dokumentację Oatuh, google it i pomóż sobie! –