Articles of openid connect

在哪里存储JWT客户端凭证授权

我有一个NodeJS快速应用程序,通过客户端凭据授权身份validation到身份validation服务器。 我收到的令牌用于从API加载数据。 在整个应用程序中存储令牌的最佳实践是什么? 请注意,JWT不是用户特定的,因为我的Express App是客户端。

如何在Azure AD上使用passport.js和OpenID Connect策略

我正在使用OpenID Connect,Node.js,Passport.js对Azure AD进行身份validation。 你能指点我的任何资源/文档和/或示例代码? 我遇到了护照openidconnect 。 这仍然是活动模块? 你知道我可以使用的任何其他模块吗? 如果是这样,如果你能指点我一些示例代码将是伟大的!

什么authentication策略使用?

最近,我一直在阅读OAuth2,OpenID Connect等,但仍然很遗憾什么时候以及如何实现它。 我现在想使用NodeJS。 可以说我想创build一个博客服务。 该服务将公开API供客户使用。 “客户”包括pipe理员CMS。 我想这将是很好的解耦我的服务器和客户端(UI)。 我可以在不触摸服务器的情况下更改UI。 这些客户端可能会成为单页的Web应用程序。 好的第一个问题:在这个例子中,我应该使用OAuth2吗? 为什么? 仅仅因为我正在授权pipe理员应用程序访问博客? 自从SPA以来,我认为正确的策略是OAuth2 Implicit Flow? 对于每个应用程序,例如。 admin cms,我将不得不生成传递给auth服务器的AppID。 没有应用程序的秘密是正确的? 在这种情况下是否可以使用谷歌login(而不是用户名/密码)? 是否OpenID连接做到这一点? 我如何在NodeJS中实现所有这些? 我看到https://github.com/jaredhanson/oauth2orize ,但我不明白如何实现隐式stream。 我看到一个非官方的例子https://github.com/reneweb/oauth2orize_implicit_example/blob/master/app.js ,但我在想的是为什么会话需要? 我认为令牌的目标之一是服务器可以是无状态的? 我也想知道,我应该什么时候使用API​​密钥/秘密身份validation?

KeyCloak-Nodejs – 返回授权码和状态后进入无限循环

我正在使用KeyCloak为虚拟节点应用程序设置Open Id连接。 我正在使用在关键斗篷文档中提到的nodejs适配器 。 以下是节点应用程序的routes.js文件: 'use strict'; /** * Module dependencies. */ const home = require('../app/controllers/home'); /** * Expose */ module.exports = function (app, passport) { var session = require('express-session'); var Keycloak = require('keycloak-connect'); var memoryStore = new session.MemoryStore(); var keycloak = new Keycloak({ store: memoryStore }) // app.use(session({ // secret: 'mySecret', // resave: false, […]