标签(标签)

资源精选(342) Go开发(108) Go语言(103) Go(99) LLM(84) angular(83) 大语言模型(67) 人工智能(56) 前端开发(50) LangChain(43) golang(43) 机器学习(40) Go工程师(38) Go程序员(38) Go开发者(36) React(34) Go基础(29) Python(24) Vue(23) Web开发(20) 深度学习(20) Java(20) Web技术(19) 精选资源(19) ChatGTP(17) Cookie(16) android(16) 智能体(13) 前端框架(13) JavaScript(13) Next.js(12) ChatGPT(11) LLMOps(11) 提示工程(11) 聊天机器人(11) 安卓(11) typescript(10) 资料精选(10) PostgreSQL(10) mlops(10) NLP(10) 第三方Cookie(9) Redwoodjs(9) RAG(9) Go语言中级开发(9) 自然语言处理(9) 区块链(9) 安全(9) 全栈开发(8) OpenAI(8) Linux(8) AI(8) GraphQL(8) iOS(8) 数据科学(8) 软件架构(7) Go语言高级开发(7) AWS(7) C++(7) whisper(6) Prisma(6) 隐私保护(6) Agent(6) JSON(6) DevOps(6) 数据可视化(6) wasm(6) 计算机视觉(6) 算法(6) Rust(6) 微服务(6) MCP(5) 隐私沙盒(5) FedCM(5) 语音识别(5) Angular开发(5) 快速应用开发(5) 生成式AI(5) LLaMA(5) 低代码开发(5) Go测试(5) gorm(5) REST API(5) kafka(5) 推荐系统(5) WebAssembly(5) GameDev(5) 数据分析(5) CMS(5) CSS(5) machine-learning(5) 机器人(5) 游戏开发(5) Blockchain(5) Web安全(5) nextjs(5) Kotlin(5) 低代码平台(5) 机器学习资源(5) Go资源(5) Nodejs(5) PHP(5) Swift(5) RAG架构(4) devin(4) LLM Agent(4) Blitz(4) javascript框架(4) Redwood(4) GDPR(4) 生成式人工智能(4) Angular16(4) Alpaca(4) 编程语言(4) SAML(4) JWT(4) JSON处理(4) Go并发(4) 移动开发(4) 移动应用(4) security(4) 认证(4) 隐私(4) spring-boot(4) 物联网(4) 网络安全(4) API(4) Ruby(4) 信息安全(4) flutter(4) 专家智能体(3) Chrome(3) CHIPS(3) 3PC(3) SSE(3) 人工智能软件工程师(3) Remix(3) Ubuntu(3) GPT4All(3) 模型评估(3) 软件开发(3) 问答系统(3) 开发工具(3) 最佳实践(3) RxJS(3) SSR(3) Node.js(3) Dolly(3) 移动应用开发(3) 低代码(3) IAM(3) Web框架(3) CORS(3) 基准测试(3) Go语言数据库开发(3) Oauth2(3) 并发(3) 主题(3) Theme(3) earth(3) nginx(3) 软件工程(3) azure(3) keycloak(3) 生产力工具(3) gpt3(3) 工作流(3) C(3) jupyter(3) prometheus(3) GAN(3) Spring(3) 逆向工程(3) 应用安全(3) Docker(3) Django(3) Machine Learning(3) R(3) .NET(3) 大数据(3) Hacking(3) 渗透测试(3) C++资源(3) Mac(3) 微信小程序(3) Python资源(3) JHipster(3) SQL(2) Apache(2) Hashicorp Vault(2) Spring Cloud Vault(2) Go语言Web开发(2) Go测试工程师(2) WebSocket(2) 容器化(2) AES(2) 加密(2) 输入验证(2) ORM(2) Fiber(2) Postgres(2) Gorilla Mux(2) Go数据库开发(2) 模块(2) 泛型(2) 指针(2) HTTP(2) PostgreSQL开发(2) Vault(2) K8s(2) Spring boot(2) R语言(2) 深度学习资源(2) 半监督学习(2) semi-supervised-learning(2) architecture(2) 普罗米修斯(2) 嵌入模型(2) productivity(2) 编码(2) Qt(2) 前端(2) Rust语言(2) NeRF(2) 神经辐射场(2) 元宇宙(2) CPP(2) spark(2) 流处理(2) Ionic(2) 人体姿势估计(2) human-pose-estimation(2) 视频处理(2) deep-learning(2) kotlin语言(2) kotlin开发(2) burp(2) Chatbot(2) npm(2) quantum(2) OCR(2) 游戏(2) game(2) 内容管理系统(2) MySQL(2) python-books(2) pentest(2) opengl(2) IDE(2) 漏洞赏金(2) Web(2) 知识图谱(2) PyTorch(2) 数据库(2) reverse-engineering(2) 数据工程(2) swift开发(2) rest(2) robotics(2) ios-animation(2) 知识蒸馏(2) 安卓开发(2) nestjs(2) solidity(2) 爬虫(2) 面试(2) 容器(2) C++精选(2) 人工智能资源(2) 备忘单(2) 编程书籍(2) angular资源(2) 速查表(2) cheatsheets(2) SecOps(2) mlops资源(2) R资源(2) DDD(2) 架构设计模式(2) 量化(2) Hacking资源(2) 强化学习(2) flask(2) 设计(2) 性能(2) Sysadmin(2) 系统管理员(2) Java资源(2) 机器学习精选(2) android资源(2) android-UI(2) Mac资源(2) iOS资源(2) Vue资源(2) flutter资源(2) JavaScript精选(2) JavaScript资源(2) Rust开发(2) deeplearning(2) RAD(2)
更多的标签
x

【IAM】被阻止的第三方Cookie如何可能影响Okta环境

developer.chat
26 June 2024
SEO Title
How Blocked Third Party Cookies can Potentially Impact an Okta Environment

category

概述


广告商经常使用第三方cookie来跟踪多个网站上的用户行为,从而建立用户在线活动的详细档案。这引起了人们对隐私的严重担忧,因为许多用户对未经其明确同意而不断被监控和分析的想法感到不舒服。阻止第三方cookie是防止此类跟踪的一种方式。

从13.1版本开始,Safari默认会阻止第三方cookie,从而中断某些流中的Okta功能。Firefox和其他浏览器也在推出类似的更改。

谷歌Chrome计划在2024年第一季度为1%的用户禁用第三方cookie,然后在2024第三季度增加到100%的用户。点击此处阅读更多关于谷歌计划的信息:取消Chrome用户的第三方cookie。


 
应用于


第三方Cookie

原因


如果您使用Okta-hosted登录页面,并且您的应用程序未从浏览器调用会话API,则此问题不会影响您的组织。拥有自己登录功能的客户可能会受到影响。

当自托管应用程序依赖于HTTP请求中包含的Okta会话Cookie对Okta进行调用时,浏览器会阻止Cookie到达Okta,因为向Okta发出的请求是在第三方上下文中。受影响的特定功能是会话管理,以及OAuth 2.0隐式流和PKCE流中的令牌续订。

潜在影响是什么?


第三方cookie屏蔽可能会影响以下Okta用例:

客户构建的应用程序中的会话管理


如果托管登录页面并使用Okta登录小工具的自托管实例来登录用户,或者依靠用户浏览器中运行的JavaScript来调用Okta来处理会话管理,则浏览器对第三方cookie的阻止可能会破坏功能。

伴随对Okta API端点(如/sessions/me和/users/me)的XHR调用的Okta会话Cookie被浏览器阻止,因为它们被发送到与用户所在的域不同的域。Okta会话cookie永远无法接通Okta,Okta无法完成请求。

结果是Okta向用户返回403个Forbidden错误,或者您的应用程序重复地将用户引导回登录页面。

具体来说,这个问题会影响Okta Auth JavaScript SDK的某些方法。Okta登录小工具在内部使用受影响的Okta Auth JavaScript SDK方法。任何直接对Okta会话API进行XHR调用的客户开发代码也会受到影响。有关更多详细信息,请参阅登录小工具使用的第三方Cookie。
 

使用OAuth 2.0隐式流的客户构建的单页应用程序中的令牌续订


如果代码使用OAuth 2.0隐式流或PKCE流来处理令牌续订(通常发生在使用隐式流或者PKCE流的SPA的上下文中),则浏览器可以阻止发送Okta会话cookie,因此令牌续订永远不会成功完成。

结果是,ID令牌和访问令牌在没有续订的情况下过期,并且提示用户更频繁地登录,登录频率由令牌过期时间决定。
 

某些页面未显示在Okta中的场景


例如,在隐身模式下尝试访问SAML应用程序的视图设置说明

解决方案


从浏览器的角度来看,通过使Okta组织与应用程序服务器有效地成为同一域的一部分,自定义URL域的使用将Okta会话cookie移动到第一方上下文中。对Okta的调用变为同一网站内的调用,浏览器第三方cookie阻止不再触发。

例如,如果原始Okta组织是companyname.Okta.com,而应用程序服务器是app.companyname.com,则您可以使用自定义URL域功能为您的Okta组织提供一个新的URL,如login.companyname.com

另一个选项是更新流以利用刷新令牌。这允许在不提示用户重新验证的情况下刷新用于访问安全资源的当前令牌。请确保在管理控制台内的应用程序上启用“刷新令牌”授权,并按照上面链接中的示例请求,确保存在成功刷新访问令牌所需的查询参数。还要考虑PKCE流可以利用刷新令牌来执行令牌续订。


相关参考文献

文章链接
https://developer.chat/how-blocked-third-party-cookies-can-potentially-impact-okta-environment

标签