Questions tagged «authentication»

身份验证是验证身份的过程。

3
基于cookie的身份验证如何工作?
有人可以逐步介绍基于Cookie的身份验证的工作方式吗?我从未做过涉及身份验证或Cookie的任何事情。浏览器需要做什么?服务器需要做什么?以什么顺序?我们如何确保事物安全? 我一直在阅读有关身份验证的不同类型和cookie的信息,但是我想对如何将两者一起使用进行基本描述-我只读过它们经常一起使用但找不到描述的方法。

4
如果JWT被盗怎么办?
我正在尝试为我的RESTful API使用JWT实现无状态身份验证。 AFAIK,JWT基本上是在REST调用期间作为HTTP标头传递的加密字符串。 但是,如果有一个窃听者看到请求并窃取令牌,该怎么办?那他就能伪造我的身份要求吗? 实际上,这种担忧适用于所有基于令牌的身份验证。 如何预防呢?像HTTPS这样的安全通道?

4
SQL Server 2008无法使用新创建的用户登录
我正在使用Windows Vista,但无法使用新创建的用户登录。 我打开SQL Server Management Studio。 我通过右键单击“安全性”->“登录”来创建新的登录名。 检查:SQL Server身份验证 登录名:tester 密码:test 单击“确定” 我将此用户添加到“用户映射”到我选择的数据库中。 单击文件->连接对象资源管理器,选择SQL Server身份验证,然后输入测试器/测试,然后单击连接。 我收到一个错误: Login failed for user 'tester'. (Microsoft SQL Server, Error: 18456" with Severity = 14 and State = 1. 是什么导致此错误,以及如何用我的用户登录?

2
如何在PostgreSQL中为数据库创建用户?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,使其成为Stack Overflow 的主题。 8年前关闭。 改善这个问题 我已经在我的CentOS服务器上安装了PostgreSQL 8.4,并通过shell和访问PostgreSQL shell连接到root用户。 我在PostgreSQL中创建了数据库和用户。 尝试从我的PHP脚本进行连接时,它显示身份验证失败。 如何创建新用户,以及如何为特定数据库授予权限?


5
为移动应用程序创建API-身份验证和授权
总览 我正在为我的应用程序创建一个(REST)API。最初/主要目的是供移动应用程序(iPhone,Android,Symbian等)使用。我一直在研究基于Web的API的身份验证和授权的不同机制(通过研究其他实现)。我已经把大部分基本概念都束之高阁,但仍在一些方面寻求指导。我想做的最后一件事是重新发明轮子,但是我没有找到任何适合我标准的标准解决方案(但是我的标准可能会被误导,因此也随时可以批评我)。另外,我希望所有使用它的平台/应用程序的API都相同。 oAuth 我会继续反对oAuth,因为我知道这可能是第一个提供的解决方案。对于移动应用程序(或更确切地说是非Web应用程序),离开应用程序(转到Web浏览器)进行身份验证似乎是错误的。另外,浏览器无法(我知道)将回调返回给应用程序(尤其是跨平台)。我知道有几个应用程序可以做到这一点,但是感觉不对,并中断了应用程序UX。 要求 用户在应用程序中输入用户名/密码。 每个API调用均由调用应用程序标识。 开销降至最低,并且对于开发人员而言,auth方面很直观。 该机制对于最终用户(不公开其登录凭据)和开发人员(不公开其应用程序凭据)都是安全的。 如果可能,则不需要https(绝不是硬要求)。 我当前的实施思想 外部开发人员将请求一个API帐户。他们将获得一个apikey和apisecret。每个请求至少需要三个参数。 apikey-在注册时提供给开发人员 时间戳-兼用作给定apikey的每个消息的唯一标识符 hash-时间戳+ apisecret的哈希 需要apikey来标识发出请求的应用程序。时间戳记的行为与oauth_nonce类似,并且避免/减轻了重播攻击。哈希确保请求实际上是从给定apikey的所有者发出的。 对于经过身份验证的请求(代表用户的请求),我仍然不确定要使用access_token路由还是使用用户名和密码哈希组合。无论哪种方式,在某个时候都将需要用户名/密码组合。因此,当这样做时,将使用多个信息(apikey,apisecret,时间戳)和密码的哈希。 我希望在这方面提供反馈。 仅供参考,他们必须先对密码进行哈希处理,因为我不会在不进行哈希处理的情况下将密码存储在系统中。 结论 仅供参考,这并不是要求通常如何构建/结构化API,而仅仅是要求如何仅从应用程序内部处理身份验证和授权。 随机想法/奖金问题 对于仅要求将apikey作为请求的一部分的API,如何防止apikey所有者以外的其他人看到apikey(因为是明文发送的),并提出过多的请求以使它们超过使用限制?也许我只是在考虑这个问题,但是不应该有什么东西可以验证对apikey所有者进行了验证的请求吗?在我的情况下,这是apisecret的目的,它不会被散列而不会显示/传输。 说到哈希,md5 vs hmac-sha1呢?当所有值都用足够长的数据(即apisecret)进行哈希处理时,真的重要吗? 我以前一直在考虑向用户密码哈希添加每用户/行盐。如果要这样做,应用程序如何能够在不知道使用盐的情况下创建匹配的哈希?

7
人们如何在Go中管理身份验证?[关闭]
关闭。此问题不符合堆栈溢出准则。它当前不接受答案。 想改善这个问题吗?更新问题,使它成为Stack Overflow 的主题。 上个月关闭。 改善这个问题 对于那些在Go中构建RESTful API和JS前端应用程序的人,您如何管理身份验证?您在使用任何特定的库或技术吗? 我很惊讶地发现很少对此进行讨论。我谨记以下答案,并在尝试避免开发自己的实现: ASP.Net中的身份验证表单 每个人都分别编写自己的解决方案吗?
187 authentication  go 

4
什么是重定向URI?它如何适用于OAuth2.0的iOS应用?
在这里的初学者程序员,请原谅无知,并且解释将非常好:) 我试图阅读某些OAuth 2.0服务的教程,但我不理解此重定向URI ...在我的特定情况下,假设我正在尝试构建将OAuth 2.0用于某些服务的iPhone应用。我有一个已生成的应用程序ID,但是我需要提供某种重定向URI才能生成API密钥。 这是我本应在某个地方托管的URL吗?顾名思义,我认为重定向URL应该“重定向”某人。我唯一的猜测是,这是用户登录服务后重定向到的URL。 但是,即使这个假设是正确的,我也不了解另一件事-将我的应用程序发送到浏览器进行用户登录后,如何再次打开我的应用程序?

9
Android:存储用户名和密码?
如果我想存储要在Android应用程序中使用的用户名和密码,最好的方法是什么?是通过首选项屏幕(但是,如果用户错过了呢?),还是弹出一个对话框并询问用户凭据?如果是这样,我必须维护应用程序的状态。我该怎么做?



3
将ASP.NET MVC5身份验证添加到现有项目
我在网络上看到过很多类似的页面,但是大多数页面使用的是新项目而不是现有的项目,或者没有必要的功能。因此,我有一个现有MVC 5项目,希望将ASP.NET MVC5 Identity与登录,电子邮件确认和密码重置功能集成在一起。 除此之外,我还需要在数据库上创建所有必要的表,即用户,角色,组等。(我在项目中使用EF Code First)。是否有符合这些需求的文章或样品?任何建议,将不胜感激。提前致谢...

4
ASP.NET Core中基于令牌的身份验证
我正在使用ASP.NET Core应用程序。我正在尝试实施基于令牌的身份验证,但无法弄清楚如何为我的案例使用新的安全系统。我查看了一些示例,但是它们并没有太大帮助,它们使用cookie身份验证或外部身份验证(GitHub,Microsoft,Twitter)。 我的情况是:angularjs应用程序应请求/token传递用户名和密码的url。WebApi应该授权用户并返回access_token,它将在以下请求中由angularjs应用程序使用。 我找到了一篇很棒的文章,内容涉及在ASP.NET的当前版本中完全实现所需的内容- 使用ASP.NET Web API 2,Owin和Identity的基于令牌的身份验证。但是对我来说,如何在ASP.NET Core中执行相同的操作并不明显。 我的问题是:如何配置ASP.NET Core WebApi应用程序以与基于令牌的身份验证一起使用?

9
从客户端浏览器直接上传Amazon S3文件-私钥披露
我正在使用REST API通过REST API实现从客户端计算机到Amazon S3的直接文件上传,而没有任何服务器端代码。一切正常,但有一件事让我担心。 当我向Amazon S3 REST API发送请求时,我需要对请求进行签名并将签名放入Authentication标头中。要创建签名,我必须使用我的密钥。但是所有事情都是在客户端发生的,因此,可以很容易地从页面源中揭示密钥(即使我混淆/加密了源)。 我该如何处理?这是一个问题吗?也许我只能将特定私钥的使用限制为仅来自特定CORS Origin的REST API调用,以及仅PUT和POST方法,或者仅将密钥链接到S3和特定存储桶?可能还有另一种身份验证方法? “无服务器”解决方案是理想的选择,但是我可以考虑进行一些服务器端处理,而不是将文件上传到服务器,然后再发送到S3。

3
在浏览器中的何处存储JWT?如何防范CSRF?
我知道基于cookie的身份验证。SSL和HttpOnly标志可以应用于保护来自MITM和XSS的基于cookie的身份验证。但是,将需要采取更多特殊措施来保护它免受CSRF的侵害。它们只是有点复杂。(参考) 最近,我发现JSON Web令牌(JWT)作为身份验证的解决方案非常热门。我知道有关编码,解码和验证JWT的知识。但是,我不明白为什么某些网站/教程告诉您使用JWT不需要CSRF保护。我已经阅读了很多,并尝试总结以下问题。我只希望有人可以提供JWT的概况,并阐明我对JWT误解的概念。 如果JWT存储在cookie中,则我认为它与基于cookie的身份验证相同,除了服务器不需要会话来验证cookie /令牌。如果不采取特殊措施,CSRF仍有风险。JWT是否存储在cookie中? 如果JWT存储在localStorage / sessionStorage中,则没有cookie,因此不需要防御CRSF。问题是如何将JWT发送到服务器。我在这里发现建议使用jQuery通过Ajax请求的HTTP标头发送JWT。那么,只有ajax请求可以进行身份​​验证吗? 此外,我还发现了另一个博客节目,使用“ Authorization标头”和“ Bearer”发送JWT。我不了解博客谈论的方法。有人可以解释一下“授权标头”和“承载者”吗?这是否会使通过所有请求的HTTP标头传输的JWT?如果是,CSRF怎么样?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.