如何保护REST Web服务(提供者)
我需要在提供商安全REST风格的服务。我想,用户必须使用授权的REST服务,我可以生成使用stadistic或者干脆不要让调用REST服务,如果isn't寄存器开发商。 我一直在想,用户在URL中发送电子邮件和密码(http://autor.derf.com/api/search/email?=dsdfd@gmail.com&passwd=dasffsdf;),但心不是非常安全的。 此外,我已
..
ASP.NET
.NET CF 2.0 HttpWebRequest的pre-认证和第一个请求发送凭据
我试图用自己的修改基本身份验证的版本bit.ly的REST API进行通信。不过,为了这个工作的HttpWebRequest需要附加在第一次请求的凭据,但是,HttpWebRequest的不会在第一次发送请求证书,他们将等待401发送任何凭据,即使preAuthenticate设置为true之前(以preAuthenticate它会发送所有后续请求凭据)。 我已尝试下面得到的HttpWebReq
..
权限设计模式,它允许基于日期的访问
我在看的方式来实现我的应用程序的授权(未验证)方案。 有目前在系统中有两个作用:A和B,但是可以存在更多。用户只能有一个角色。 基本上,我有它设置现在是有两个数据库表。一个是用于在模型基于角色的权限,而另一个是对特定的用户的基于权限。我想,这个方式,用户可以拥有一套基于其基于角色的权限默认权限,但他们也可以授予/撤消特定权限。 因此,例如: 表:user_permissions 列:
..
是否有可能在一个XACML政策比较属性?
以下规则表明受试者的作用“acme_manager”可以执行对资源的任何行动“/ ACME /小工具”: <规则影响=“许可证”RuleId =“PermitRule”> <条件> <申请FunctionId =“瓮:绿洲:名称:TC:XACML:1.0:功能:与”> <申请FunctionId =“
..
Omniauth,设计,打开ID,康康舞 - 请告诉我什么,什么时候使用哪种解决方案针对Rails应用程序的API
因此,进出口开发一个Rails的APP-主要服务API,我希望锁定behjind一个不错的授权系统。香港专业教育学院创建Rails应用它呈现HTML并为我所用设计和惨惨。这一次,我想为JSON给我的客户。我基本上有以下要求: 需要授权系统强大的那 的用户应该能够与现有的应用程序,如Facebook的登录,微博链接了和谷歌 应该有完整的堆栈授权可 现在这是我的第一个应用程序,我写
..
在受信任的第三方WIF环境应用程序授权
所有, 我对一些落后的Windows Intentity基础概念和整体架构适合于第三方有点糊涂了“信任”的环境至于授权。我想我可能错过了一些东西,但我看不出它是如何在现实世界中工作。 作为一个例子,我们有许多门户后面的系统。客户可以访问门户,并根据他们的权限,他们可以访问每个不同的应用的功能。在当前情况下,我们可能有一个通过授权的身份/委托人(根据自定义的认证店),以每个应用程序的单一认证步骤
..
JSP拒绝网址直接访问由用户未记录
我有一个登录和登录后显示在用户信息页面。我怎样才能阻止用户直接访问用户信息页面?我如何能实现与会话? 解决方案 在登录时,将发现的用户对象的会话。 字符串username =的request.getParameter(“username”的); 字符串密码=的request.getParameter(“密码”); 用户的用户= userDAO.find(用户名,密码); 如果(用户!=
..
系统"?;为什么TeamCity的命令行下的亚军和QUOT执行
我有一个有点身份验证问题与TeamCity的运行命令行构建时。它涉及到有关现有问题
..
与socket.io授权
我试图确定如何最好地授权(除认证)用户使用socket.io执行特定的任务。 在EX preSS,这是相当简单的。我首先有一个查询数据库,以确定是否记录存在一个登录/密码的形式,如果它确实存在,那么我将用户连接到req.session数据。 exports.session =功能(REQ,RES){ User.authenticate(req.body.username,req.bo
..
谷歌应用程序脚本卷曲授权
只是想与谷歌应用程序的脚本玩。在匿名模式下事情似乎罚款。但任何人都可以打电话给我的剧本只是这样的片段显示: 卷曲“的https://script.google.com/macros/s/.../exec IP = \\”$ MYIP \\“” 我用 本手册 的提示如何通过的GoogleLogin验证。现在的问题是“401未授权”发送身份验证令牌和“我(车主)/只有我自己”选项都设置在谷歌方面
..
保护REST和JSON
我要建立我的服务使用RESTful架构JSON数据的Web服务。 但我想我自己的客户端应用程式只可以从我的Web服务请求。 基本上,我的Web服务包含敏感数据不适合大众消费,但我想建立它,所以我可以建立一个连接到我的web服务很多不同的客户应用程序的方式。 请问AP preciate的任何想法,谢谢。 解决方案 这是基于REST或JSON使用不相关的因素,当涉及到保护Web服务的事实
..
在甲骨文的Apex授权和用户角色?
所以顶点有“工作区”,它可以让您创建三种类型的用户 - 所有这些都是内部在性质组织。此外,似乎有没有办法关于APEX的个人网站开发商有“用户”只为他的网站。 我缺少的东西吗? 我需要能有外部的(业务)的用户能够以访问只是网站的某些功能,例如,会计只能看到网页A和B,而管理人员可以看到A,B和C 我需要有几批人有不同的访问级别,能力。 可这只能通过创建工作空间/组做了什么?或者可以说是对刚刚
..
如何限制访问在ASP.NET MVC中的某些页面?
我要锁定是否获得了用户的编辑页面(如/user/pure.krome/edit) 一)Identity.IsAuthenticated = FALSE 或者认证但 B)Idenitity.Name!=他们正试图编辑 C)Identity.UserType()!= UserType.Administrator //这就像一个角色,而无需使用RoleProviders。 我假设U可以装饰
..
扶手:使用惨惨定义多个角色,这取决于单一模型的实例?
我目前停留在如何为惨惨取决于我们希望每个条件分隔作用。 在我们的应用中,也有很多类别(如数学,英语,历史等),并在每个有许多课程。 每个用户可对每一类许多不同的角色。例如,约翰可能是一个“读者”的数学,这意味着他可以读取所有在数学课程。约翰也可以是一个“作家”英语,这意味着他能看懂英文的所有课程,创建类英语中的一个过程,而编辑/删除只有他在英国创造的课程。 如果这是唯一的角色约翰,他将无法看
..
保护使用Spring Security的REST端点
我试图提供安全的REST端点。我下面从
..
REST,缓存和多用户角色授权
我们有多个不同级别的访问多租户系统 - 有时甚至为同一用户,因为它们多个角色之间切换。我们正在移动到一个RESTful实现的事情开始的讨论。我刚开始让我的脚湿与整个REST的事情。 那么,如何去限制访问正确的记录,当他们访问资源,尤其是考虑缓存考虑什么时候?如果用户A访问 example.com/employees ,他们将获得比用户B不同的反应;他切换到不同的角色用户A甚至可以收到不同的回应。
..
RSpec的要求 - 如何设置HTTP授权头所有请求
我使用RSpec的要求来测试JSON API,它要求在每个请求的头一个API密钥。 我知道我能做到这一点: 得到“/v1/users/janedoe.json”,{},{'HTTP_AUTHORIZATION'=>“中令牌令牌= \\”即为MyToken \\“”} 但它是乏味做的每个请求。 我试过块之前设置 request.env 中的,但我得到了都没法NilClass误差因为请
..
1563组属性
我有我连接到1563为了从外部管理身份两个服务提供商。你能想出一个方法来配置1563来实现以下目标: 与关联属性的群体,而不是直接给用户。然后组内的用户将继承这些属性。 关联组,应用程序,而不是直接关联用户的应用程序。 我的最终目标是能够利用1563用于管理角色存储每个服务提供商。我希望SAML断言从1563来能够被映射到断言为个人服务提供商,基于服务提供商确定权限方案。 解决
..
Rails的动态基于角色的授权插件?
有大量的基于角色的授权插件在那里。他们提前工作的伟大,当你知道是什么角色都将是。例如,如果我知道我将不得不管理员,super_users和not_so_super_users。 我真正想要的是能够创建自定义角色并分配该角色给用户。在这一点上,我只是想阻止访问基于用户的自定义角色的控制器/行动。角色将包括权限。 例如,李四可以添加和查看窗口小部件,但她不能删除或编辑。李四可以添加,查看和编辑。老
..
Vimeo的API AuthorizationUrl没有登录
我使用Vimeo的API来获取上的Web应用程序上下文的视频和我有一个简单的问题(我希望:P) 可能汇入作业使用OAuth协议,并通过下面的链接继续做应用程序授权的请求: https://vimeo.com/oauth/authorize?oauth_token=XXXX ,没有强制用户在浏览器登录? 我注意到,如果我没有登录Vimeo上,当我去 https://开头vimeo.com/oau
..