authorization相关内容
在任何平台的一个重要组成部分(PaaS的)身份验证的安全性是能够限制和/或定义每认证一个特定的应用程序或用户的任何一个用户/应用基础或在“权利”或权限的基础。 在现代化的平台或产品的API中发现的常见的权限模型是基于“作用域”的想法。在我的研究, GitHub的,的 Facebook的, Instagram的,
..
例如,我有3个服务: 验证 卖家 买家 他们每个人都得到了自己的数据库,模型,服务...等 验证服务知道的用户,用户组,角色,权限和创建令牌。 我应该在哪里存放卖方/买方的实体?在身份验证服务,或卖方/买方服务? 卖方/买方服务应如何进行交互,以创造新的卖方/买方实体? 卖方/买方服务应如何检查权限? 卖方和买方机构有一些共同的字段:姓名,密码,电子邮件......,
..
可能重复:结果 宁静的API认证建议? 我正在写在PHP的API,它选择使用敬/ REST。 这是不是公共API,也就是说,只有授权的客户端应用程序可以使用那里。而这正是我想的如何保证信息的安全,该API处理的一些想法。 客户端应用程序可以用任何语言编写,但正如我所说,他们应该被允许使用API。 目前,我正在写一个测试客户端使用jQuery.rest这个API。 我的疑惑是:
..
我想,以使用VIMEO API来使用授权头。 它告诉我做这个“授权:基本'+的base64(CLIENT_ID +”:“+ client_secret),这是我能够做到的。 但无处在互联网上它告诉我,其实我这个code呢?这不是PHP,但它在一个PHP文件中去?如果是这样的话我就可以使用什么函数存储后?是否在htaccess文件去了? 这是很可悲的任何及所有在线文档如何可怕的是这一点。 要
..
假设我们有我们要揭露其暴露的一些资源的RESTful API。最终用户将通过如移动应用和基于JavaScript客户端上的Web浏览器上运行的客户端应用这个API的工作。 使用OAuth 2.0这个API的RESTful会说谎的资源服务器上,我们将不得不在其上客户端应用程序登记注册的授权服务器。用户将随后在授权服务器上注册,并能够将权限授予这些应用程序的访问资源代表他们或没有。 所以,当他将被
..
我工作的后端部分的移动应用程序。后端将是一个RESTful API。对我来说,主要的问题 - 这是授权/认证用户 我们将使用Facebook授权(Facebook的SDK iOS设备)在移动应用方面。这里的主要问题是:怎样只用我们可以从Facebook获取的数据来实现对后端端授权 也许有人已经有了一些解决方案,也可以完成这个任务提供一些例子吗? 我能想象这个过程: 用户preSS在应用
..
我有提供图片的PHP文件。它要求一个“API密钥”(限制访问)和一个字符串。 然后,它生成一个PNG图像并将其返回。 要访问图像: < IMG SRC =“http://www.myserver.com/mypage.php?api=APIKEY&text=some-text-here”ALT =“”/&GT ; 这个形象将来自第三方的网站被调用。 我需要知道,如果相关的API
..
我已经决定使用omniauth,github上的宝石会同github_api宝石。不过,我不是100%确定如何使用我已经收到回授权从GitHub使用github_api宝石。我知道 Github.new basic_auth:'用户名:密码“和 Github.new组oauth_token'令牌',但我不完全知道如何让该令牌作为响应。任何帮助将是AP preciated!谢谢老乡Ruby专家。
..
我想实现基于OAuth2用户在其由WSO2身份服务器(Auth服务器)和API管理器生成的标记被用作网关(资源服务器)的架构。 我的理解有必要修改 Identity_Server /库/ conf目录/ carbon.xml ,并设置值false元素< HideAdminServiceWSDLs>假< / HideAdminServiceWSDLs> ,以便能够通过身份暴
..
我最近一直读了很多关于Web API认证机制和我是一个有点困惑就如何实现我的Web API认证机制,我想使用基于令牌身份验证,但我不知道,如果这是正确的选择。 基本上我的Web API将管理所需的所有操作,它会保存我的网站的(他们有分开的情况下),用户以及API的用户。 我要支持以下 用户可以在我的网站,使用他们的G +或Facebook帐户或我的服务已创建的用户名注册的应用程序,以及他们将
..
有没有办法通过从code,而不是在弹出每次输入凭据登录授权?登录凭据 解决方案 您不要求登录凭据授权每一次,你会得到通过OAuth的在全成授权的访问令牌和访问秘密,使用后对进一步呼吁在API.Oauth协议以这种方式工作。 我想是的Magento使用OAuth 1.0 / 1.0A,所以每次你会授权你得到一个用户, 组oauth_token - 访问令牌,提供访问受保护资源 oaut
..
我已经开发了REST API为我的Symfony2应用。该API将通过移动应用中使用。大部分的功能在当前已验证用户的情况下完成的,例如: $这个 - >盛器>获取('security.context') - GT;为gettoken() - GT;的getUser() 我希望,移动应用将能够张贴到login操作,就像一个传统的Web表单。如果凭据检查出那么Symfony
..
我需要的时候,他发送至API请求验证客户端。客户端有一个API令牌,我想使用标准的授权头令牌发送到服务器。 通常这个头是用于基本和摘要认证。但我不知道如果我允许自定义此头的值,并使用自定义的auth-方案,例如: 授权:令牌1af538baa9045a84c0e889f672baf83ff24 你会推荐这不?或者是有在发送令牌的更好的方法? 解决方案 您可以创建使用授权自己的定制身份验
..
我有一个客户端角的js应用。我有一个服务器端API的NodeJS。客户端和服务器端应用程序位于不同的域。客户端使用API来获取或发布一些数据。另外,客户端需要从服务器侧获得的图像,并将其显示在浏览器中。 我用护照模块的NodeJS的认证。我不知道哪个身份验证策略是为我好。我认为有两种类型的验证策略:基于cookie的基于令牌的和。而且我觉得在我的情况下,这两种类型的无用的: 如果我使用
..
纠正我,如果我错了:在传统的web应用程序,浏览器会自动追加会话信息进入到服务器的请求,这样服务器可以知道该请求来自谁。究竟实际追加? 然而,在一个基于API的应用程序,这个信息不会自动发送,因此开发一个API的时候,我必须,如果请求来自例如身份验证的用户检查自己?这是如何正常执行? 解决方案 HTTP协议是无状态的设计,每个请求都分别进行,并在一个单独的上下文中执行。 会话管理背后的
..
我有一个FB应用程序,当我作为取消授权回调URL进入我的开发箱地址,框用ping操作应用移除FB上后这个请求: POST / Facebook的/取消对HTTP / 1.1 主持人:bashman.org 接受:* / * 内容长度:261 内容类型:应用程序/ x-WWW的形式urlen codeD 连接:关闭fb_sig_uninstall=1&fb_sig_locale=de_DE&fb
..
我读过有关的OAuth,亚马逊REST API,HTTP基本/摘要等,但不能得到这一切为“单件”。这可能是最近的情况 -
..
在骆驼我使用http4组件,使远程服务器上的REST请求。 组件文档指出凭据应放在选项上这样的端点 https4://myremote.server.com/ authUsername = XXX和放大器; authPassword = YYY 这是工作很好,直到有人把密码与另一个环境中的“+”字。 我们注意到,“+”字符作为在其中产生一个错误的服务器的空间发射。 由骆驼文档中搜索更深,
..
我们使用由Apache的2.4所提供的新的认证和授权的框架和需要关闭整个现场(位置/),以未经授权的访问,除了一个子目录(地点/富),那里可以得到授权cookie中。这似乎是AuthMerging是使用指令,但事情不工作: <位置/> AuthType选项形式 AuthFormProvider富 会议
..
我已经成功地延长 TokenAuthentication ,我有一个工作模型使用请求会话来存储我的令牌时,但是当我试图传递授权一样这里描述的头参数 ,我发现我的答复回来没有META变量HTTP_AUTHORIZATION。我也注意到,如果我通过“许可2”作为头参数,它是在请求可见: { '_内容类型': '', “accepted_media_type”:“应用/ JSON”,
..