Questions tagged «token»

我想了解基于令牌的身份验证的含义。我搜索了互联网，但找不到任何可以理解的东西。

514 security  authentication  token  http-token-authentication 

我正在使用以下方法在C ++中解析字符串： using namespace std; string parsed,input="text to be parsed"; stringstream input_stringstream(input); if (getline(input_stringstream,parsed,' ')) { // do some processing. } 使用单个字符定界符进行解析就可以了。但是，如果我想使用字符串作为分隔符怎么办。 示例：我想拆分： scott>=tiger 与>=作为分隔符，以便我可以得到斯科特和老虎。

360 c++  parsing  split  token  tokenize 

根据到目前为止的了解，令牌的目的是防止攻击者伪造表单提交。 例如，如果某个网站的表单向您的购物车中输入了添加的商品，那么攻击者可能会向您的购物车中发送您不想要的商品。 这是有道理的，因为购物车表单可能有多个有效输入，攻击者要做的就是知道该网站正在销售的商品。 我了解令牌在这种情况下的工作原理并增加了安全性，因为它们可确保用户实际上已填写并为添加到购物车中的每个商品按下了表单的“提交”按钮。 但是，令牌是否为需要用户名和密码的用户登录表单增加了任何安全性？ 由于用户名和密码非常独特，攻击者必须知道两者才能使登录伪造正常工作（即使您没有设置令牌），并且如果攻击者已经知道，则可以登录网站他自己。更不用说，使用户登录自己的CSRF攻击也没有任何实际用途。 我对CSRF攻击和令牌的理解正确吗？而且我怀疑它们对用户登录表单没有用吗？

161 php  token  csrf 

我正在尝试编写一个程序，其中某些函数的名称取决于具有这样的宏的某个宏变量的值： #define VARIABLE 3 #define NAME(fun) fun ## _ ## VARIABLE int NAME(some_function)(int a); 不幸的是，宏NAME()将其变成了 int some_function_VARIABLE(int a); 而不是 int some_function_3(int a); 因此，这显然是错误的解决方法。幸运的是，VARIABLE的不同可能值的数量很小，因此我可以简单地进行an #if VARIABLE == n并单独列出所有情况，但是我想知道是否有一种聪明的方法来做到这一点。

152 c  concatenation  token  c-preprocessor 

我将使用oAuth从Google提取邮件和联系人。我不想让用户每次登录都获得访问令牌和密码。据我了解，我需要将它们与应用程序一起存储在数据库或中SharedPreferences。但是我对此有点担心。我读到您可以加密和解密令牌，但是攻击者很容易反编译apk和类并获取加密密钥。 在Android中安全存储这些令牌的最佳方法是什么？

123 android  security  oauth  preferences  token 

在我的react应用程序中，我正在使用axios执行REST api请求。 但是它无法发送带有请求的Authorization标头。 这是我的代码： tokenPayload() { let config = { headers: { 'Authorization': 'Bearer ' + validToken() } } Axios.post( 'http://localhost:8000/api/v1/get_token_payloads', config ) .then( ( response ) => { console.log( response ) } ) .catch() } 在这里，该validToken()方法将仅从浏览器存储中返回令牌。 所有请求的错误响应均为500，表示 无法从请求中解析令牌 从后端开始。 如何随每个请求发送授权标头？您会推荐其他任何带有react的模块吗？

117 reactjs  rest  token  axios  access-token 

请向我解释strtok()功能的作用。该手册说它将字符串拆分为令牌。我无法从手册中了解其实际功能。 我添加了手表，str并*pch在第一个while循环发生时检查其工作情况，其中的内容str仅为“ this”。屏幕上如何显示下面显示的输出？ /* strtok example */ #include <stdio.h> #include <string.h> int main () { char str[] ="- This, a sample string."; char * pch; printf ("Splitting string \"%s\" into tokens:\n",str); pch = strtok (str," ,.-"); while (pch != NULL) { printf ("%s\n",pch); pch = strtok (NULL, " ,.-"); } …

114 c  string  split  token  strtok 

已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗？更新问题，以便通过编辑此帖子以事实和引用的形式回答。 去年关闭。 改善这个问题 （从此线程产生，因为这实际上是一个问题，并不特定于NodeJS等） 我正在通过身份验证实现REST API服务器，并且已经成功实现了JWT令牌处理，以便用户可以使用用户名/密码通过/ login端点登录，然后从服务器机密生成JWT令牌并将其返回给客户。然后，在每个经过身份验证的API请求中，将令牌从客户端传递到服务器，然后使用服务器机密来验证令牌。 但是，我试图了解关于如何以及在多大程度上验证令牌的最佳实践，以构成一个真正安全的系统。“验证”令牌应该包含什么内容？可以使用服务器秘密来验证签名是否足够，还是我还应该对照服务器中存储的某些数据来交叉检查令牌和/或令牌有效载荷？ 基于令牌的身份验证系统仅与在每个请求中传递用户名/密码一样安全，只要获取令牌比获取用户密码同等或更困难。但是，在我看到的示例中，生成令牌所需的唯一信息是用户名和服务器端机密。这不是说，假设一分钟内恶意用户获得了服务器机密知识，他现在就可以代表任何用户产生令牌，从而不仅可以访问一个给定的用户，而且如果密码为获得，但实际上是所有用户帐户？ 这使我想到了以下问题： 1）JWT令牌验证是否应仅限于验证令牌本身的签名，仅依靠服务器机密的完整性或通过单独的验证机制进行验证？ 在某些情况下，我已经看到了令牌和服务器会话的组合使用，其中在通过/ login端点成功登录后会建立一个会话。API请求会验证令牌，还将令牌中找到的解码数据与会话中存储的某些数据进行比较。但是，使用会话意味着使用cookie，从某种意义上说，它违反了使用基于令牌的方法的目的。这也可能给某些客户带来麻烦。 可以想象服务器将当前所有令牌都保留在内存缓存或类似的内存中，以确保即使服务器机密受到威胁，攻击者也可以生成“有效”令牌，只有通过/ login端点生成的确切令牌将被接受。这是合理的还是仅仅是多余/过度的？ 2）如果JWT签名验证是验证令牌的唯一方法，这意味着服务器密钥的完整性是切入点，那么应该如何管理服务器密钥？从环境变量读取并为每个部署的堆栈创建一次（随机化？）？定期更新或轮换（如果这样，如何处理在轮换之前创建但在轮换之后需要验证的现有有效令牌，如果服务器在任何给定时间保留当前和先前的机密就足够了） ？还有吗 当涉及到服务器机密受到威胁的风险时，我可能只是过于偏执，这当然是一个更普遍的问题，需要在所有加密情况下解决……

111 security  authentication  token  jwt  secret-key 

我在短时间内就多次使用了刷新令牌进行测试，但是我不知道Google刷新令牌是否会过期？我可以使用相同的刷新令牌长时间（一周甚至几个月）一次又一次地获取另一个访问令牌吗？

108 api  google-api  token  access-token 

我想创建一个C宏，该宏创建一个具有基于行号的名称的函数。我以为我可以做类似的事情（真正的功能在花括号内有语句）： #define UNIQUE static void Unique_##__LINE__(void) {} 我希望可以扩展为： static void Unique_23(void) {} 那不行 使用令牌连接时，将按实际方式处理定位宏，最终扩展为： static void Unique___LINE__(void) {} 这可能吗？ （是的，无论这看起来多么无用，我都有这样做的真实理由）。

107 c  macros  concatenation  token 

我正在学习有关授权的一些​​知识，例如Basic，Digest，OAuth2.0，JWT和Bearer Token。 现在我有一个问题。 您知道JWT被用作OAuth2.0标准中的Access_Token。JWT出现在RFC 7519上，而Bearer Token出现在RFC 6750上。 例如，承载： Authorization: Bearer <token> 我曾经通过AJAX将令牌发送到服务器，或者将令牌添加到url的查询字符串中。我知道令牌也可以通过将其添加到请求标头中来发送。这是否意味着应该将令牌添加到Authorization Bearer标头中？ 您能告诉我JWT和Bearer Token之间的关系吗？非常感谢。

105 oauth  token  jwt 

如何验证socket.io连接？我的应用程序使用来自另一台服务器（python）的登录端点来获取令牌，每当用户在节点侧打开套接字连接时如何使用该令牌？ io.on('connection', function(socket) { socket.on('message', function(message) { io.emit('message', message); }); }); 和客户端： var token = sessionStorage.token; var socket = io.connect('http://localhost:3000', { query: 'token=' + token }); 如果令牌是在python中创建的： token = jwt.encode(payload, SECRET_KEY, algorithm='HS256') 如何使用此令牌对节点中的套接字连接进行身份验证？

105 node.js  socket.io  jwt  token 

我有一个请求URI和一个令牌。如果我使用： curl -s "<MY_URI>" -H "Authorization: TOK:<MY_TOKEN>" 等等，我得到200并查看相应的JSON数据。因此，我安装了请求，并且当我尝试访问该资源时，我得到了403，这可能是因为我不知道传递该令牌的正确语法。谁能帮我解决这个问题？这就是我所拥有的： import sys,socket import requests r = requests.get('<MY_URI>','<MY_TOKEN>') r. status_code 我已经尝试过： r = requests.get('<MY_URI>',auth=('<MY_TOKEN>')) r = requests.get('<MY_URI>',auth=('TOK','<MY_TOKEN>')) r = requests.get('<MY_URI>',headers=('Authorization: TOK:<MY_TOKEN>')) 但是这些都不起作用。

95 python  get  authorization  token  python-requests 

我想生成忘记密码的标识符。我读到我可以通过将时间戳与mt_rand（）一起使用来做到这一点，但有人说时间戳记并非每次都唯一。所以我有点困惑。我可以在此使用时间戳吗？ 问题 生成自定义长度的随机/唯一令牌的最佳实践是什么？ 我知道这里有很多问题，但是在听取了不同人的不同意见后，我变得更加困惑。

94 php  security  random  timestamp  token 

在我们的网站上，我们根据用户的私人信息（通过表格提供）向他们提供模拟。我们希望允许他们稍后再获得其模拟结果，但又不必强迫他们创建登录名/密码帐户。 我们已经考虑过向他们发送带有链接的电子邮件，他们可以从中获取结果。但是，自然地，我们必须保护此URL，因为私有数据受到威胁。 因此，我们打算在URL中传递令牌（如字母和数字的40个字符的组合，或MD5哈希），并使用SSL。 最后，他们会收到这样的电子邮件： 嗨， 在https://www.example.com/load_simulation?token=uZVTLBCWcw33RIhvnbxTKxTxM2rKJ7YJrwyUXhXn上获取结果 你怎么看待这件事？它足够安全吗？对于代币生成，您有什么建议？如何在https请求中传递URL参数呢？

88 security  url  https  token