restful-authentication相关内容

如何使用OpenID或OAuth进行内部第一方身份验证?

我正在为一组RESTful Web应用程序的用户开发一个内部身份验证系统.我们的意图是,用户应该能够通过Web表单登录一次,并具有对我们域中所有这些RESTful应用程序的适当访问权限,这些应用程序可以分布在许多服务器的私有云中. (我已经知道,只有一个经过身份验证的会话并不符合纯RESTful方法,但这是可用性的要求.) 应用程序本身将使用多种编程语言编写,因此需要一种与语言无关的方法.我 ..
发布时间:2020-05-03 09:32:53 其他开发

如何防止使用被盗令牌进行Rest Web服务身份验证

我们知道Rest服务是无状态的,进行身份验证的通用策略是使用基于令牌的身份验证. 在登录服务中,它需要返回令牌的凭据. 此令牌可能在客户端cookie中设置,并且所有后续请求都使用此令牌进行验证,如果令牌有效,则处理新请求. 现在我的问题是如何验证令牌?如果有人窃取了令牌并试图通过仅编辑cookie来尝试使用窃取的令牌来访问其他服务,那么如何识别和限制令牌呢? 我们永远无法 ..
发布时间:2020-05-03 09:18:40 Java开发

如何在RESTful Web服务中实现登录?

我正在构建带有服务层的Web应用程序.服务层将使用RESTful设计构建.这种想法是,在将来的某个时候,我们可能会构建使用与Web应用程序相同的服务层的其他应用程序(iPhone,Android等).我的问题是-如何实现登录?我认为我无法从更传统的基于动词的设计过渡到基于资源的设计.如果我使用SOAP构建它,则可能会有一个称为Login的方法.在REST中,我应该有一个资源.我很难理解如何为登录构 ..
发布时间:2020-05-03 09:12:28 其他开发

使用LDAP和组成员资格的Spring安全性

我正在使用Spring Security来验证用户是否传递了有效的用户名和密码. 我还想验证用户是否属于特定组. 尽管凭据验证有效,但组成员身份验证无效. 我需要配置ldapAuthoritiesPopulator吗? 解决方案 尽管凭据验证有效,但组成员身份验证无效. 我假设组成员身份是ldap base 和 userDn 的组合. 这是帮助您的代码. ..
发布时间:2020-04-30 08:43:38 其他开发

如何在Laravel 5中验证RESTful API?

如何在Laravel 5中对RESTful API进行身份验证? 我正在使用Laravel 5构建RESTful API和我想将这些API用于移动应用程序. 我还看到了 http://laravel.com/docs/5.0/authentication 但没有得到任何相关示例,请为我提供示例示例或用于验证Laravel 5中的RESTful API的适当链接. 解决方案 我一直在寻 ..
发布时间:2020-04-28 04:21:49 PHP

Json Web令牌(JWT)如何真正减少“人在循环中"的攻击?

我试图了解JWT,并在网上冲浪各种资源.我找到了显示如何检查JWT是否回火的代码-这是一个很棒的代码,我理解. 但是,我不明白中间人如何使用JWT,中间人既可以查看浏览器数据(认为是图书馆中的公共计算机),也可以嗅探连线(我想这可以避免)通过HTTPS)获取GWT字符串,然后从另一台计算机重播. https://float-middle.com/json-web -tokens-jwt ..
发布时间:2020-04-25 08:03:49 其他开发

JWT:slim v3和Android中的身份验证

我正在使用Slim框架将JSON返回到我的Android设备.我目前正在设备上进行登录.我使用3种不同的登录方式:Facebook,Google和帐户登录.登录帐户后,他可以注册一个新帐户或使用现有帐户登录. 为了确保Web服务的安全性,我考虑使用JWT安全性.因此,我正在阅读和观看有关其工作原理的视频.我想我知道它是如何工作的,但是我找不到关于如何正确实现它的任何信息. 我用于sli ..
发布时间:2020-04-25 07:59:35 移动开发

如何在JWT中使用jti声明

JWT规范提到了一个jti声明,据称该声明可以用作现时防止重放攻击: jti(JWT ID)声明为JWT提供了唯一的标识符.标识符值的分配方式必须确保将相同的值偶然分配给不同的数据对象的可能性可以忽略不计;如果应用程序使用多个发行者,则还必须防止不同发行者产生的值之间发生冲突. jti声明可用于防止重播JWT. jti值是区分大小写的字符串.使用此声明是可选的. 我的问题是,我将如何实 ..
发布时间:2020-04-25 07:56:33 其他开发

保护SPA后面的REST API免受数据窃贼的侵害

我正在为Angular SPA编写REST Api网关,但是我面临着针对“数据窃贼"保护SPA API公开的数据的问题.我知道我不能对HTML抓取做很多事情,但是至少我不想为这样的数据窃贼提供用户体验以及发送到SPA的JSON的全部功能. 关于该主题的大多数“教程"和主题之间的区别是,我将这些数据公开到一个公共网站(这意味着不需要用户身份验证),该网站提供了有关视频游戏的有价值的统计信息. ..
发布时间:2020-04-25 07:54:29 其他开发

我需要在哪里使用JWT?

除了结构和协议之外,我当时想知道JWT适合客户/服务器通信的地方吗? 是在这里替换身份验证和会话cookie吗? 在这里是为了减轻服务器在数据库或内存中存储会话令牌的压力吗? 客户端是否可以确保他们正在从预期的服务器接收数据,如果这不是问题,我就不需要JWT? 当连接为HTTPS/SSL时,服务器到服务器的通信是否有必要或良好的做法? 解决方案 什么是JWT? 这是只有服 ..
发布时间:2020-04-25 07:54:04 其他开发

JWT应该存储在localStorage还是cookie中?

根据一些资料(例如),则JWT可以存储在 localStorage 或 Cookies 中.根据我的理解: localStorage 受XSS限制,通常不建议在其中存储任何敏感信息. 使用 Cookies ,我们可以应用标志"httpOnly",以减轻XSS的风险.但是,如果我们要从后端的Cookies中读取JWT,则我们将受到CSRF的约束. 因此,基于上述前提-如果我们将JWT存 ..
发布时间:2020-04-25 07:49:20 其他开发

rails-用于json/xml请求的InvalidAuthenticityToken

由于某种原因,当使用json或xml向我的应用程序发布请求时,我收到一个InvalidAuthenticityToken.我的理解是,Rails仅应为html或js请求要求真实性令牌,因此我不应该遇到此错误.到目前为止,我找到的唯一解决方案是禁用我想通过API访问的任何操作的protect_from_forgery,但是出于明显的原因,这不是理想的选择.有想法吗? def creat ..
发布时间:2019-11-23 19:16:35 其他开发

如何将基本身份验证标头分配给XMLHTTPREQUEST?

我已经阅读了许多关于预检和CORS的答案,所以请不要发布引用我应该阅读的内容的链接。许多答案来自服务器视角,但在这种情况下我是客户端。我是否设置了原始标题?我的假设是这是一个简单的请求,我是对的吗? req.open(“POST”,url,true) ; req.setRequestHeader('Content-Type','application / blahblah'); r ..
发布时间:2019-06-06 00:20:57 前端开发

有关访问HttpOnly Cookie&安全的cookie

我正在使用angularJS处理RESTful SPA应用。目前,初始REST调用是在用户成功登录后在 xyz.com (安全响应cookie)上设置“令牌”cookie。我无法以Javascript / angular读取此cookie,因为我正在使用localhost。 我在这里理解,除非我从xyz.com运行此应用程序,我无法访问此cookie或我是否需要安全连接? 我的理解是否 ..
发布时间:2019-05-27 11:05:28 前端开发