Robił ktoś uwierzytelnianie OAuth2 do zewnętrznych usług w #springboot z użyciem #springsecurity i komuś to działało? Standardowy URL /oauth2/authorization/nazwauslugi nie działa, a ręczne wywołanie authorize() rzuca wyjątek "Authorization required for Client Registration Id: nazwauslugi" - wygląda na to, że odpowiednie filtry nie są wywoływane (np. OAuth2AuthorizationRequestRedirectFilter). A tak w ogóle to szukam jakiejś lekkiej biblioteki bez integracji ze Spring Security. Chodzi o to, żeby użytkownik mógł się połączyć
Wszystko
Najnowsze
Archiwum
OAuth - Open Authorization
OAuth umożliwia użytkownikom zapewnianie witrynom lub aplikacjom delegowanego dostępu bez podawania danych uwierzytelniających
z- 0
- #
- #
- #
Czy ustawiał ktoś kiedyś oauth 2.0 na Facebook.
Założyłem portal w którym zaimplementowałem logowanie przez FB, pobiera to dane (zdjęcie, imie i nazwisko) z kolei adres e-mail skróca do takiej formy 21414214124124@fb.me. Czy wie ktoś jak ten e-mail działa? Użytkownik FB ma do tego adresu jakikolwiek dostęp? #programowanie #facebook #stronywww #autoryzacja #oauth #informatyka
Założyłem portal w którym zaimplementowałem logowanie przez FB, pobiera to dane (zdjęcie, imie i nazwisko) z kolei adres e-mail skróca do takiej formy 21414214124124@fb.me. Czy wie ktoś jak ten e-mail działa? Użytkownik FB ma do tego adresu jakikolwiek dostęp? #programowanie #facebook #stronywww #autoryzacja #oauth #informatyka
Mirki jak jest z bezpieczeństwem korzystania z #youtube #vanced? Mianowicie wątpliwość mi się pojawiła, gdy muszę tam dodać konto - jak to jest realizowane z technicznego punktu widzenia? Zalogowałem się swoim jakimś nieużywanym kontem google i wygląda na to, że to nawet nie jest #oauth - w takim razie udostępniam aplikacji swój login i hasło?
Mirko pomusz!
w ramach #hobby chcę napisać własną aplikację do sterowania roletami Somfy https://developer.somfy.com/apis-docs
utknąłem na Oauth2
- zgodnie z intrukcją stworzylem apkę, mam 'customer key', 'customer secret'
- wysyłam request aby dostać code z redirect URI (pod którym czeka endpoint na połączenie, samo http)
w ramach #hobby chcę napisać własną aplikację do sterowania roletami Somfy https://developer.somfy.com/apis-docs
utknąłem na Oauth2
- zgodnie z intrukcją stworzylem apkę, mam 'customer key', 'customer secret'
- wysyłam request aby dostać code z redirect URI (pod którym czeka endpoint na połączenie, samo http)
@pdpacek jak wykonujesz zapytanie? Zwrotka 302 wskazuje że wszystko jest ok i powinno cię automatycznie przenieść na stronę logowania bez żadnego response body
@JanekZeStudzianek: przenosi mnie lecz ja chce uwierzytelnić app 2 app
Tym razem przedstawiam relację z zaimplementowania przeze mnie serwera i klienta OAuth 2.0. Zachęcam do lektury wpisu oraz analizy dołączonego kodu źródłowego.
Link: Oauth 2.0 - implementacja klienta i serwera
Jeśli interesują Cię moje wpisy, obserwuj tag #polydev
#programowanie #informatyka #oauth #programista15k
Link: Oauth 2.0 - implementacja klienta i serwera
Jeśli interesują Cię moje wpisy, obserwuj tag #polydev
#programowanie #informatyka #oauth #programista15k
źródło: comment_rvL0OtmE8LIgw3TXi7tyeBmJjkFhIgDH.jpg
Pobierz
GitHub właśnie załatał (w 3h od zgłoszenia!) krytyczną podatność. Za zgłoszenie koleżka otrzymał $25 000:
https://sekurak.pl/github-nieautoryzowany-dostep-do-kont-uzytkownikow-przyznano-nagrode-100-000zl/
#bezpieczenstwo #webdev #oauth #github #csrf #sekurak
https://sekurak.pl/github-nieautoryzowany-dostep-do-kont-uzytkownikow-przyznano-nagrode-100-000zl/
#bezpieczenstwo #webdev #oauth #github #csrf #sekurak
źródło: comment_GsAG2PCxEIatYdOdbk02JGvCfMWeRHdZ.jpg
Pobierz#prasowkadev 5 września 2019 roku
A huge database of #facebook users’ phone numbers found online #security
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
Linus’s rules on keeping #git history clean
A huge database of #facebook users’ phone numbers found online #security
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
Linus’s rules on keeping #git history clean
#azure #java #api #oauth #programowanie
mirki mam apke w stylu tej z poradnika:
https://docs.microsoft.com/en-us/java/azure/spring-framework/configure-spring-boot-starter-java-app-with-azure-active-directory?view=azure-java-stable
mam https://mvnrepository.com/artifact/com.microsoft.azure/azure-active-directory-spring-boot-starter
w projekcie, do wersji 2.0.9 wszystko działa, ale gdy dam wersje 2.1.0 wywala się podczas wysyłania POST oauth/token, a dokładnie zwraca 401 przekierowuję na /azure?error i wpada w pętle. Tak samo kiedy zwiększe wersje spring-parent oraz spring-security a zostawie adsb-starter na 2.0.9 to też wywala 401
mirki mam apke w stylu tej z poradnika:
https://docs.microsoft.com/en-us/java/azure/spring-framework/configure-spring-boot-starter-java-app-with-azure-active-directory?view=azure-java-stable
mam https://mvnrepository.com/artifact/com.microsoft.azure/azure-active-directory-spring-boot-starter
w projekcie, do wersji 2.0.9 wszystko działa, ale gdy dam wersje 2.1.0 wywala się podczas wysyłania POST oauth/token, a dokładnie zwraca 401 przekierowuję na /azure?error i wpada w pętle. Tak samo kiedy zwiększe wersje spring-parent oraz spring-security a zostawie adsb-starter na 2.0.9 to też wywala 401
Cześć, w mojej firmie rozwijam pewne narzędzie związane z #api na #azure . Ustawiłem autoryzacje #oauth dla firmowego #acitvedirectory #microsoft i generalnie działa ale w przyszłości będę potrzebował skomunikować się z API za pośrednictwem skryptów( bez ingerencji użytkownika). Czy istnieje możliwość jakiejś autoryzacji wykonania skryptów bez logowania. np wygenerowanie jakiegoś tokena dostępowego? Nie mogę znaleźć informacji a to mój pierwszy kontakt z
@Koliat: przeczytałem na szybko i nie jestem pewien, dziś w robocie ogarnę temat dokładniej to dam znać. Ale nie wiem czy jasno napisałem. Chodzi o sytułacie gdy API wypluwa mi informacje na temat nazwijmy to jakiś danych. Ja u siebie na komputerze stacjonarnym chciałby się z tym API połączyć i zapytać o te dane. Niestety aplikacja na komputerze nie może działać w kontekście użytkownika tylko musi podłączyć się jakoś z
@JanMarianCzosnek: W pełni zrozumiałe - https://azure.microsoft.com/en-us/resources/samples/active-directory-dotnet-native-headless/ - to widziałeś?
Ej, Mircy,
Mam sobie konto #showmax logowanie przez #facebook, ale na #xboxone nie da się zalogować, bo tam nie ma opcji loguj przez FB. Zmienić hasła też nie nada. Co robić? #oauth #kiciochpyta
Mam sobie konto #showmax logowanie przez #facebook, ale na #xboxone nie da się zalogować, bo tam nie ma opcji loguj przez FB. Zmienić hasła też nie nada. Co robić? #oauth #kiciochpyta
@majk3l: olać, showmax za miesiąc umiera
Komentarz usunięty przez moderatora
@Rumpum: w tym linku nie ma odpowiedzi na twoje pytanie?
https://docs.microsoft.com/pl-pl/aspnet/mvc/overview/security/create-an-aspnet-mvc-5-app-with-facebook-and-google-oauth2-and-openid-sign-on
https://docs.microsoft.com/pl-pl/aspnet/mvc/overview/security/create-an-aspnet-mvc-5-app-with-facebook-and-google-oauth2-and-openid-sign-on
@grap32: no właśnie nie. Ten identyfikator przekierowania URI z przyrostkiem signin-google nie rozumiem co tam należy zadeklarować
Mirki, robię logowanie / rejestrację przez Google i Facebook.
Na froncie używam hello.js więc dostaję accesstoken'a do aplikacji stamtąd.
Wysyłam sobie tego access tokena na backend i mogę pobrać dzięki temu profil, co za tym idzie emaila, więc zalogować się da.
Ale gdzie tu clientsecret ? Myślałem, że potrzebuję go by zweryfikować że ten token jest dla mojej aplikacji ale chyba nie jest to
Na froncie używam hello.js więc dostaję accesstoken'a do aplikacji stamtąd.
Wysyłam sobie tego access tokena na backend i mogę pobrać dzięki temu profil, co za tym idzie emaila, więc zalogować się da.
Ale gdzie tu clientsecret ? Myślałem, że potrzebuję go by zweryfikować że ten token jest dla mojej aplikacji ale chyba nie jest to
@trustME jeśli dobrze pamiętam, clientsecret jest potrzebny w przypadku flow authorizationcode. Wtedy klient w przeglądarce nie ma dostępu do access_tokenu, bo google przekierowuje go tylko z kodem, który serwer wymienia na token.
Ty, korzystając z jakiejś biblioteki na frontendzie wykorzystujesz jakiś inny flow.
Ty, korzystając z jakiejś biblioteki na frontendzie wykorzystujesz jakiś inny flow.
@januzi: właśnie z FB chyba tak jest - dzisiaj to będę kodzić, ale właśnie z Google+ nie do końca jednak
Mirki, robię logowanie / rejestrację przez Google i Facebook.
Na froncie używam hello.js więc dostaję accesstoken'a do aplikacji stamtąd.
Wysyłam sobie tego access tokena na backend i mogę pobrać dzięki temu profil, co za tym idzie emaila, więc zalogować się da.
Ale gdzie tu clientsecret ? Myślałem, że potrzebuję go by zweryfikować że ten token jest dla mojej aplikacji ale chyba nie jest to
Na froncie używam hello.js więc dostaję accesstoken'a do aplikacji stamtąd.
Wysyłam sobie tego access tokena na backend i mogę pobrać dzięki temu profil, co za tym idzie emaila, więc zalogować się da.
Ale gdzie tu clientsecret ? Myślałem, że potrzebuję go by zweryfikować że ten token jest dla mojej aplikacji ale chyba nie jest to
Po stronie frontu user dostaje tymczasowy tokenz facebooka. Przesyłasz na backend i tam ponownie weryfikujesz, czy ten tymczasowy token jest prawidłowy (request do facebooka). Jeśli jest ok to znaczy, że dostałeś prawdziwy token i user faktycznie przed chwilą się zalogował (możesz to autoryzować).
Czy ktoś jeszcze zaczyna #programowanie aplikacji od tabelki USERS z kolumnami USERNAME i PASSWORD? Jeśli tak to... To lepiej nie :).
http://devstyle.pl/2017/04/11/social-logowanie-w-net-po-co-dlaczego-i-jak/
#devstyle #social-login #oauth
http://devstyle.pl/2017/04/11/social-logowanie-w-net-po-co-dlaczego-i-jak/
#devstyle #social-login #oauth
@maniserowicz: czemu tagujesz oauth, skoro nie służy on do uwierzytelniania, a chyba o tym jest Twój wpisu
@maniserowicz: imho poleganie tylko na google jest duzo gorsze od utrzymywania uzytkownikow(ktorzy wbrew temu co twierdzi autor sa tak oklepani, ze w wiekszosci frameworkow masz to za darmo wiec wtf...)
Gratuluje @jakdojade pomysłu przekierowania dobrej działającej lekkiej wersji m.jakdojade.pl na tą nową kobyłę, która potrafi mi na stacjonarnym kompie zjeść 400MB ramu od samego jej uruchomienia. Teraz mogę zapomnieć o sprawdzeniu rozkładu jazdy na czymkolwiek co nie jest smartfonem i nie ma przynajmniej z 512MB ramu bo strona się nawet nie jest w stanie załadować.
Widzę po źródłach strony że powinienem zobaczyć chociaż sentencje
Widzę po źródłach strony że powinienem zobaczyć chociaż sentencje
You are using an **outdated** browser. Please upgrade
@krowa_pro - hej, lata 80te dzwoniły.
WTF, trollujesz, prawda? Może zaraz będziesz się irytował, że ciężko Ci się ogląda netflixa w ASCII?
Na wykop.pl wdzwaniasz się przez 0 20 21 22, a newsy pobierasz dzwoniąć na bbs?
WTF, trollujesz, prawda? Może zaraz będziesz się irytował, że ciężko Ci się ogląda netflixa w ASCII?
Na wykop.pl wdzwaniasz się przez 0 20 21 22, a newsy pobierasz dzwoniąć na bbs?
Chciałbym dodac na stronie możliwość rejestracji/logowania przez api facebooka (mozliwe ze w przyszlosci dojda inne serwisy). Stronka jest w pythonie i flasku. Widzę że jest troche modułów do flaska które to umożliwiają, wiekszość nie jest aktywnie rozwijana (ostatnie commity 2+ lat temu). Którego użyć?
#python #flask #oauth
#python #flask #oauth
Co wybrac ?
- rauth - rauth.readthedocs.io/en/latest/ 0% (0)
- flask-rauth - github.com/joelverhagen/flask-rauth 0% (0)
- flask-oauth - github.com/mitsuhiko/flask-oauth 0% (0)
- flask-social - github.com/mattupstate/flask-social 30.0% (3)
- facebook js sdk 20.0% (2)
- cos innego 50.0% (5)
#programowanie #php #codeception #salesforce #oauth
Próbuję napisać testy integracyjne do salesforce'a w codeception. Wiadomo scenariusz oAuth: najpierw zabawa redirectami po uprawnienia. Niestety salesforce na stronie logowania ma narąbane js'a więc dostępny w codeception "PHP Browser" nie ogarnia, bo nie odpala js'ów. Ktoś może polecić jakieś sprytne obejście tego problemu, aby z poziomu testów wykonać logowanie na testowych danych do salesforce po autentykację
Próbuję napisać testy integracyjne do salesforce'a w codeception. Wiadomo scenariusz oAuth: najpierw zabawa redirectami po uprawnienia. Niestety salesforce na stronie logowania ma narąbane js'a więc dostępny w codeception "PHP Browser" nie ogarnia, bo nie odpala js'ów. Ktoś może polecić jakieś sprytne obejście tego problemu, aby z poziomu testów wykonać logowanie na testowych danych do salesforce po autentykację
@micke: niedoczytałem. z którego oauth korzysta restowe api ?
@micke: no ale testujesz integracje wiec po autentykacje do testow chyba musisz sie sam pofatygowac.
Jezeli jest ci to potrzebne do testow to chyba SF powinien udostepnic jakis endpoint zeby to dostac.
Kazdy formularz, takze ten z lazyload jest wysylany do jakiegos URL wiec nie musisz czekac na jego zaladowanie, sam sobie skompletuj formularz i wyslij. Problem moze sie pojawic jesli bedzie tam nounce.
Jezeli jest ci to potrzebne do testow to chyba SF powinien udostepnic jakis endpoint zeby to dostac.
Kazdy formularz, takze ten z lazyload jest wysylany do jakiegos URL wiec nie musisz czekac na jego zaladowanie, sam sobie skompletuj formularz i wyslij. Problem moze sie pojawic jesli bedzie tam nounce.
Mirki mam mały problem z #spring, a dokładniej z spring-security i oauth. Dostaję w logach:
2016-03-28 22:43:05 INFO o.s.s.o.p.endpoint.TokenEndpoint - Handling error: IllegalArgumentException, java.io.NotSerializableException: org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder
Podczas próby zalogowania się, używając curl-a: curl -X POST -vu mobile:123456 http://localhost:8080/oauth/token -H "Accept: application/json" -d
2016-03-28 22:43:05 INFO o.s.s.o.p.token.store.JdbcTokenStore - Failed to find access token for token 085f4888-c730-4398-9f79-8d0749e1156a
2016-03-28 22:43:05 INFO o.s.s.o.p.endpoint.TokenEndpoint - Handling error: IllegalArgumentException, java.io.NotSerializableException: org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder
Podczas próby zalogowania się, używając curl-a: curl -X POST -vu mobile:123456 http://localhost:8080/oauth/token -H "Accept: application/json" -d
sproboj emacsem przez sendmail
@SendMeAnAngel: to jest p---------e jakichś kołczy. Jeżeli nie robisz banku czy czegoś podobnego, to trzymanie jwt w local storage jest ok. Inne strony nie mają dostępu do twojego local storage, więc niby dlaczego uważasz, że to jest niebezpieczne.