对于 CLI,此 Auth0 身份验证方法是不是安全
Posted
技术标签:
【中文标题】对于 CLI,此 Auth0 身份验证方法是不是安全【英文标题】:Is this Auth0 authentication method secure for a CLI对于 CLI,此 Auth0 身份验证方法是否安全 【发布时间】:2020-05-27 17:49:48 【问题描述】:我有一个受 Auth0 保护的 API。
我希望我的用户也可以通过 CLI 访问此 API。最初,当开发人员登录 CLI 以请求刷新令牌时,我正在考虑使用一次性密码流,然后将其保存在磁盘上以供将来使用。
但这感觉不对。还有其他更安全的方法吗?
CLI 可能用于构建服务器等,所以我想它必须是永久存在的永久令牌。
当我们这样做时,其他 API 会做什么,例如 GitHub,当我请求个人访问令牌时?是一样的吗?
【问题讨论】:
【参考方案1】:你检查了吗? https://auth0.com/docs/flows/guides/device-auth/call-api-device-auth。
通过在 CLI 上使用此流程,用户将通过浏览器以交互方式登录,然后在 CLI 中输入代码。这会给你一个访问令牌和一个刷新令牌。您可以在 CI 过程中使用刷新令牌在每次构建时(或每当 AT 过期时)获取新令牌。
【讨论】:
您能详细说明您对每个构建的含义吗?假设您正在使用我的 CLI,它以这种方式请求令牌。如果我们要确保令牌可以永远存在,我们坚持什么令牌?刷新令牌?如果是这样,这是个好主意吗? 是的,刷新令牌。 不刷新令牌 - 如果您希望 CLI 成为 CI 的一部分,只需升级 M2M以上是关于对于 CLI,此 Auth0 身份验证方法是不是安全的主要内容,如果未能解决你的问题,请参考以下文章
如果用户已经通过登录页面或 auth0 进行了身份验证,我们是不是需要在 websocket 连接中对用户进行身份验证?
发布/订阅请求身份验证作为服务(或通过服务密钥)而不是 Auth0 临时密钥
Auth0 - 为啥他们希望用户使用 WebView 而不是从 EditText 获取字符串进行身份验证?