authorization相关内容

关于 JSON Web 令牌 (JWT) 的安全性和可靠性问题

我正在为个人项目创建 API 和 SPA,但我在以下解决方案之间犹豫不决以验证用户身份(注意:通过 HTTPS): HTTP 基本身份验证(发送每个请求的用户名/密码) 基于令牌的身份验证(将 SHA1-ed 用户令牌存储在数据库中) JSON 网络令牌 (JWT) 身份验证 我什至不考虑 OAuth,因为它看起来很痛苦,而且我不需要与其他应用程序进行身份验证,我只关心对用户进行身 ..
发布时间:2021-11-15 21:04:05 其他开发

有没有办法在没有基于登录的身份验证的情况下保护 API?

我目前正在为网站开发 API,但该网站不需要登录即可使用,因此该 API 必须在没有个人用户身份验证的情况下工作.目标是防止 API 被第三者使用. 有没有办法保护 API 只供我的网站使用,而不使用登录身份验证来防止 3rd 方调用后端服务. 我已经研究过 CORS,但它似乎不是一个强有力的保证.另一个想法是旋转 API 密钥.在这些情况下通常使用什么? 解决方案 当您的网站 ..
发布时间:2021-11-15 21:02:29 其他开发

如何处理 RESTful API 中的敏感属性(例如密码、信用卡等)

致力于支持多种超媒体类型和身份验证的 REST 框架.我不确定如何处理的一件事是资源中的敏感值.例如,如果我要在 API 中包含用户管理,我需要一种向客户端公开密码字段的方法,但不显示实际的密码哈希.信用卡也是一样.如果我不这样做,它将违反超媒体约束,因为该领域的知识将变得带外,并使我的 HATEOAS 损坏. 这是我遇到的一个实际用例: 该项目是一个展示他们的人员目录,以便其他人可以 ..
发布时间:2021-11-15 21:01:05 其他开发

客户端应用程序的 PHP REST API 授权

可能的重复: Restful API 认证推荐? 我正在用 PHP 编写 API,它选择使用尊重/REST. 这不是一个公共 API,即只有经过授权的客户端应用程序才能在那里使用.这就是我想了解如何保证 API 处理的信息的安全性的地方.客户端应用程序可以用任何语言编写,但正如我所说,应该允许它们使用 API. 目前我正在使用 jQuery.rest 为这个 API 编写一个测 ..
发布时间:2021-11-15 04:52:31 PHP

只允许特定/官方的 HTML5 Web 应用程序连接到 Websocket 主机

是否可以确保只能从“官方"(HTML5) 应用程序建立网络套接字连接(通过 socket.io)? 目标是,在没有进一步授权信息的情况下,了解 API 的第三方应用无法连接到主机. 在我看来,难点在于在网络应用程序中放置一个秘密,以便应用程序可以使用它来授权为“官方". 这个要求有点难以实现,因为 javascript 内容总是可读的,无论你是否在代码上应用了晦涩的方法. ..
发布时间:2021-11-15 04:39:19 前端开发

在基于 api 的应用程序中,授权逻辑应该放在哪里?

我有一个全新的基于 Rails api 的应用程序,我需要在其中实现授权. 整体架构: React 前端 ->Rails API 层 ->Rails 模型/服务器层 在探索不同的方法时,我有些困惑. 我们应该将授权逻辑放在 API 层还是 Service 层? API 层方法:我们将构建一些位于前端和 API 层之间的授权中间件,我们所有的 api 调用都将通过授权中间件 ..
发布时间:2021-11-15 04:26:31 其他开发

Javascript 中的授权承载令牌头

我正在尝试为我从 API 端生成的授权不记名令牌创建标头.我正在使用 CORS-anywhere 来调用 API 并通过 JSON 获取数据.我想知道,授权不记名令牌标头的正确格式是什么? 解决方案 HTTP 授权 具有以下语法: 授权: 对于您的特定用例,即使用不记名令牌,请求标头应为: Authorization: Bearer ..
发布时间:2021-11-15 04:13:59 前端开发

传递的 API 密钥对 Postman 中的 Marvel API 无效

我正在尝试在 Postman 上向 Marvel API 发出请求,但收到错误代码:401 {“代码":“无效凭据",“消息":“传递的 API 密钥无效."} 我使用这个网站来获取时间戳并使用this 获取 MD5 哈希值 我在请求中发送这些参数apikey,ts,hash 如此处所述,但仍然出现错误 如此答案中所述,我尝试将我的 IP 添加到授权的推荐人,但它也无济于事 解决 ..
发布时间:2021-11-15 04:13:13 其他开发

传递的 API 密钥对 Postman 中的 Marvel API 无效

我正在尝试在 Postman 上向 Marvel API 发出请求,但收到错误代码:401 {“代码":“无效凭据",“消息":“传递的 API 密钥无效."} 我使用这个网站来获取时间戳并使用this 获取 MD5 哈希值 我在请求中发送这些参数apikey,ts,hash 如此处所述,但仍然出现错误 如此答案中所述,我尝试将我的 IP 添加到授权的推荐人,但它也无济于事 解决 ..
发布时间:2021-11-15 04:07:12 其他开发

如何将不记名令牌添加到 HTTP 请求的标头?

我无法弄清楚如何设置授权标头,以授权为键,以不记名令牌为值. 我已经完成了一个内置身份验证的 Web API.我已经在邮递员上进行了测试,一切正常.问题出在邮递员身上,我将令牌副本通过它复制到一个新的键和值,在该站点中,我不确定如何在 Blazor 项目中更改这些值. 当在 http://testapi.com/api/token/输入获取 API 时a>{username}/{pas ..
发布时间:2021-11-15 04:04:52 C#/.NET

Google API 令牌端点 POST 返回错误请求 400

我正在尝试将一次性 Google Plus 授权代码交换为访问令牌.但我不断收到 400 Bad Request.我正在使用 VB.NET.代码如下: '我们现在应该有一个“好的"一次性授权码存储在“code"中使用客户端作为新的 WebClient()'将客户端变暗为新的 WebClient()Dim values As New NameValueCollection()昏暗的反应Dim r ..
发布时间:2021-11-15 03:26:53 其他开发

Rest API 认证机制,怎么做

我最近阅读了很多关于 WEB API 身份验证机制的文章,但我对如何实现我的 Web API 身份验证机制有点困惑,我正在考虑使用基于令牌的身份验证,但我不确定这是正确的选择. 基本上,我的 Web API 将管理所有需要的操作,它会存储我网站的用户以及 API 用户(以防他们必须分开). 我想支持以下内容 用户可以使用他们的 G+ 或 Facebook 帐户或从我的服务中创建的 ..
发布时间:2021-11-15 03:14:53 其他开发