使用 oAuth2orize 传递“资源所有者密码流”的可信客户端信息

2024-02-21

我在理解如何使用 oAuth2rize 和 Passport.js 实现资源所有者密码流程时遇到一些问题，特别是在 client_id 和 client_secret 的传输方面，以便我可以对客户端进行一些检查，以确保任何内容进入此端点（/使用特定“密码”授权类型的令牌）是专门的官方应用程序，没有其他基于 ID 和秘密的应用程序。

在构建解决方案时，我可以获得一个令牌，但那是在我尝试对客户端进行任何验证之前。当我尝试访问传递到密码交换策略的客户端变量（发布到端点）时，我收到基于文档的用户凭据（用户名、密码），但不是我在这里需要实现的。

我不知道如何获取实际的客户端凭据，我可以在密码函数源代码中看到，您可以提供其他选项来覆盖对 req['user'] 的默认分配，但这是否意味着我必须提供一些添加到 req 对象的代码类型？

我已经设置了一些集成测试，这是我调用端点的方式（使用 SuperTest）：

                request('http://localhost:43862')
                    .post('/oauth/token')
                    .type('form')
                    .send({ grant_type: 'password' })
                    .send({ client_id: 'goodClient' })
                    .send({ client_secret: 'asecret' })
                    .send({ username: '[email protected] /cdn-cgi/l/email-protection' })
                    .send({ password: 'goodpassword' })
                    .expect(200, done);

出于某种原因，我似乎完全过度思考了这一点，但出于某种原因，我完全被难住了......

正如预期的那样，这是一个理解问题，我们使用本地策略而不是 ClientPasswordStrategy，并且在发出令牌之前在密码交换中进行用户验证。

我们现在使用 ClientPasswordStrategy，并在 exchange.password 函数中调用我们的用户 api 的内部调用来验证用户凭据，如果可以，则颁发令牌。

passport.use(new ClientPasswordStrategy(

function(clientId, clientSecret, next){

    Client.verify(clientId, clientSecret, function(err, verified){

        if(!verified){
            return next(null, false);
        }

        next(null, clientId);
    });

}
));

passport.use(new BearerStrategy(
function(token, next) {

    Token.getByToken(token, function(err, tokenObj){

        if(err)
            return next(err);

        if(!tokenObj)
            return next(null, false);

        User.getByUsername(tokenObj.username, function(err, user){

            return next(null, user, { scope: 'all' });
        });
    });
}
));

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

使用 oAuth2orize 传递“资源所有者密码流”的可信客户端信息的相关文章

获取telegram群组的所有用户

我正在尝试获取电报组的所有用户我看到方法 getChatAdministrators 但我认为 API 没有获取所有成员的方法我正在使用nodejs的telegram bot api Telegram 机器人 API https cor
使用 OWIN Identity 注册来自多个 API 客户端的 Web API 2 外部登录

我想要以下架构我为本示例编写了产品名称在一台服务器上运行的 Web API 2 应用程序 http api prettypictures com http api prettypictures com 在另一台服务器上运行的 MVC 5
Laravel Homestead 中 npm 安装错误有解决方案吗？

Windows 10 家园虚拟盒6 0 8 流浪者2 2 5 节点 v12 5 0 npm v6 10 1 我想做的就是在新安装的 Laravel 应用程序中执行 npm install 命令但我不断收到错误经过两天的谷歌搜索并尝试了
Gmail 上下文小工具（Gmail 插件/扩展）：已弃用？不可能的？如何？（无法执行 OAuth 2.0）

我们需要开发一个内部 gmail 扩展来处理传入的电子邮件允许收件人与我们的内部软件进行交互我一直试图弄清楚如何在 Gmail Contextual Gadget 中使用 OAuth 2 0 但我找不到任何具体的文档当我使用 cont
AWS Lambda 提前结束（没有任何显式返回或回调）

我在放入 AWS Lambda 中的一些 Node js 代码时遇到了一些问题我需要进行几个异步调用虽然第一个调用的行为符合我的预期但 lambda 函数在第二个调用完成之前终止返回值为 null 这让我认为 lambda 正在执行
使用 Socket.IO 时如何访问会话标识符？

我有一个聊天我需要管理独特的连接我四处搜寻但我找到的解决方案似乎都已被弃用那么如何使用 Socket IO 获取套接字的会话 ID 我在用着Node js http en wikipedia org wiki Node js Ex
如何获取knex / mysql中所有更新记录的列表

这是我正在处理的查询 return knex table returning id where boolean false andWhere fooID foo id update boolean true limit num then f
使用 TFS 2015 运行 Jest 单元测试

有人尝试将 jest 单元测试与 TFS 2015 集成吗我尝试使用 Chutzpah 测试适配器 https visualstudiogallery msdn microsoft com f8741f04 bae4 4900 81c7
使用 Nodemailer 提交电子邮件时 NodeJs 错误

我已按照以下步骤设置 Nodemailer 1 允许访问 Gmail 中安全性较低的应用程序 2 在app js中写入以下内容 app post reachus send function req res var transporter n
Node.JS async.parallel 不会等到所有任务完成

我在用异步并行 https github com caolan async并行运行两个函数这些函数请求 RSS 源然后 RSS 提要被解析并添加到我的网页中但由于某种原因async parallel运行回调方法而不等待两个函数完成文
为 npm install 添加本地项目依赖

在 npm 中添加本地项目依赖项的正确语法是什么package json file 我本地有 git 项目C projects MyApp 我想得到这个项目npm install 我尝试以下 dependencies my app file
Node 不断恢复到旧版本

每次我在控制台中重新启动 vagrant 时它都会询问我的登录详细信息然后说Now using node v7 10 0 npm v4 2 0 当我做run nvm install node I get v13 11 0 is alre
Socket.io 400（错误请求）

我的服务器上有这段代码 var express require express var routes require routes var user require routes user var http require http var
dyld：惰性符号绑定失败

当我尝试运行时遇到一个奇怪的错误gatsby develop在新创建的 gatsby 项目中这不应该与 gatsby js 静态站点生成器有任何关系因为我在不同的场合也遇到了相同的错误当我跑步时gatsby develop在我的一个
如何将对象数组传递给jade模板？

我想将一组对象从 mongodb 传递到客户端这是物体 var objeto img name name of the file image image jpg url title title of the image caption d
未捕获的 ReferenceError：未定义角度 - Mean.IO

我已遵循安装步骤 http mean io docsmean io 但是当我浏览 localhost 3000 时我得到一个空白页面当我打开控制台时我得到一个指向相同错误的文件列表未捕获的引用错误角度未定义我的问题是类似的to
通过pm2运行node.js，但经常重新启动：通过信号[SIGINT]以代码[0]退出

我试图在我的系统上运行 node js 但遇到了这个问题 2016 06 01 20 46 28 App app with id 13 and pid 12633 exited with code 0 via signal SIGINT 2
React-Native 打包器失败：模块名称重复

这在开发过程中似乎是随机发生的当尝试跑步时npm start or react native run ios 我收到以下错误 Failed to build DependencyGraph providesModule naming co
Node.js - 重载函数

有没有一种方法可以重载node js中的函数类似于 noSuchMethod https developer mozilla org en JavaScript Reference Global Objects Object noSuch
如何执行“sudo nvm”？

在我的 Mac 上我想将一些需要 su 权限的包迁移到另一个节点版本我使用 homebrew 安装 nvm 现在我需要执行 sudo nvm 或 reinstall packages将失败 me MacBook sudo nvm sud

随机推荐

无边框 TabControl wpf (XP)

我在 WPF 中设置 TabControl 样式时遇到视觉问题因此即使我将选项卡控件的边框设置为 0px 且透明右侧和底部边框上仍然有一条非常细的线我没有找到可以解决这个问题的属性所以也许有人遇到了同样的问题并可以分享提前致谢
LibGDX指导-精灵追踪2D无限随机贝塞尔曲线

我已经能够将平滑的动画应用于我的精灵并使用加速度计控制它我的精灵固定为沿 x 轴左右移动从这里开始我需要弄清楚如何创建一条垂直的无限波浪线供精灵尝试追踪我的游戏的目的是让用户用加速度计控制精灵的左右移动试图尽可能地追踪永无止境的
MVC4 部分视图中的淘汰赛绑定

简而言之我相信我所追求的是一种在 MVC4 部分视图中为剔除绑定 javascript 对象提供范围上下文的方法这样我就可以重用相同的部分而不会让它们互相干扰但仍然能够在客户端引用父子视图模型作为一个出色的菜鸟更广泛地说是真正
查找 html 块中最宽单词的宽度

目标是找到这里最宽单词的宽度文本是由不同字体的单词组成的句子如图所示 the html looks like span style font bold 14px Verdana LONGESTW span span style font
WSO2 API Manager - 移动应用程序如何连接到 API Manager？

我们有一个移动应用程序需要通过 WSO2 API Manager 来访问一些 API 由于oauth2身份验证我们需要在移动应用程序中存储用户名和密码安全吗例如可以使用用户名和密码登录API Store 对于这种情况有其他解决方案
Rails cron 与无论何时，设置环境

如果您了解用于创建 cron 作业的whengem 这个问题可能才有意义我的 Schedule rb 中有一个任务例如 every 1 day at gt 4am do command cd RAILS ROOT rake thinki
SQL Server 存储过程能否以比其调用者更高的权限执行？

我们的 SQL Server 数据库具有报告功能允许调用者读取但不能写入任何表因为用户或者更准确地说代表用户操作的 Web 应用程序打开的连接仅具有以下数据读取器权限数据库我们希望能够编写一个存储过程它是一个特殊的清理报告
为什么使用setTimeout函数会立即执行？

我正在尝试编写简单的代码setTimeout 但是setTimeout只是不会等待它应该等待的时间并且代码会立即执行我究竟做错了什么 setTimeout testfunction 2000 您将立即调用该函数并安排其返回值 Use se
神秘的阴谋集团安装问题

全新安装 Haskell Platform OS X Snow Leopard Platform 2010 1 0 1 这样做会导致简单的序列导致非常奇怪cabal install行为 cabal install time cabal in
如何在 Visual Studio C++ Express 版本中启用自动完成功能？

请指导我如何在 VS C 中启用自动完成功能通过自动完成我的意思是当我在控件名称后面加点时编辑器应该显示一个下拉菜单以供选择谢谢开始写作然后只需按 CTRL SPACE 即可
如何在 Heroku.com 上托管的 Redmine 上安装插件

刚刚把redmine推送到heroku平台虽然我无法让积压插件工作但它在本地工作得很好我已将本地数据库推送到heroku aswwell Heroku 的公共目录不可写但默认的 Redmine 假设要求如此因为在应用程序服务器启
在 apache Spark 中替换 groupByKey 的方法

我想知道更换的最佳方法按键分组与另一个操作基本上我想获得一个RDD int 列表测量我的情况 consider measures like RDD of objects measures keyBy getId groupByKey
为什么在自定义 WinRT C++/CX 控件中默认添加 [Windows::Foundation::Metadata::WebHostHidden]？

当我在 WinRT C CX 项目中创建新控件时类属性 Windows Foundation Metadata WebHostHidden Visual Studio 2012 默认添加 Example namespace Windows
Java：使用 Swing 进行游戏编程

我对游戏开发比较陌生我现在已经开发游戏并学习游戏开发2 3个月了我使用Java 我一直使用 Swing 来制作图形也就是说整个游戏都显示在JPanel 用一个Graphics2D目的到目前为止我没有遇到任何问题最近我在最近的项
如何使用 gradle 'api' 依赖项

我尝试在项目中使用 api 依赖关键字但收到此错误指出找不到方法 api 我在一个新项目上尝试过这是 build gradle 文件 plugins id java group com test version 1 0 SNAPSHO
如何在 wordpress ul 容器周围添加 div

WordPress 在这个 ul 标签内输出我的子菜单 ul class sub menu 我怎样才能在它周围包裹一个简单的div 最好是通过functions php 来完成此操作但jquery 也可以工作虽然使用 jQuery 之类
如何缝合重叠很少的图像？

我正在尝试使用重叠很少的图像创建全景图但我知道相机的角度因此我确切地知道有多少重叠并且我知道图像的顺序因此我知道每个图像在全景图中的位置作为第一步我只是将图像连接在一起但结果不够好有没有办法将位图裁剪为梯形以消除大部分重
Python 变量的字符串编码

我知道对于Python u Plants vs Zombies 2 encode utf 8 如果我有一个变量比如 appName 而不是字符串我可以这样做吗 appName Plants vs Zombies 2 u appName
WiX：补丁安装程序取代以前的版本（1.0.0 -> 1.0.1、1.0.0 -> 1.0.2、1.0.1 -> 1.0.2 等）

我正在尝试提供一个简单的安装程序包 MSI 我希望通过取代所有以前的补丁的更新补丁来支持它所以我有一个MSI V1 0 0和2个补丁V1 0 1和V1 0 2 用户应该能够只安装最新的补丁无论系统上已经应用了哪些先前的补丁我的项目
使用 oAuth2orize 传递“资源所有者密码流”的可信客户端信息

我在理解如何使用 oAuth2rize 和 Passport js 实现资源所有者密码流程时遇到一些问题特别是在 client id 和 client secret 的传输方面以便我可以对客户端进行一些检查以确保任何内容进入此端点使

使用 oAuth2orize 传递“资源所有者密码流”的可信客户端信息

使用 oAuth2orize 传递“资源所有者密码流”的可信客户端信息 的相关文章

随机推荐

热门标签

使用 oAuth2orize 传递“资源所有者密码流”的可信客户端信息的相关文章