restful-authentication相关内容
我正在为一组RESTful Web应用程序的用户开发一个内部身份验证系统.我们的意图是,用户应该能够通过Web表单登录一次,并具有对我们域中所有这些RESTful应用程序的适当访问权限,这些应用程序可以分布在许多服务器的私有云中. (我已经知道,只有一个经过身份验证的会话并不符合纯RESTful方法,但这是可用性的要求.) 应用程序本身将使用多种编程语言编写,因此需要一种与语言无关的方法.我
..
我们知道Rest服务是无状态的,进行身份验证的通用策略是使用基于令牌的身份验证. 在登录服务中,它需要返回令牌的凭据. 此令牌可能在客户端cookie中设置,并且所有后续请求都使用此令牌进行验证,如果令牌有效,则处理新请求. 现在我的问题是如何验证令牌?如果有人窃取了令牌并试图通过仅编辑cookie来尝试使用窃取的令牌来访问其他服务,那么如何识别和限制令牌呢? 我们永远无法
..
我正在构建带有服务层的Web应用程序.服务层将使用RESTful设计构建.这种想法是,在将来的某个时候,我们可能会构建使用与Web应用程序相同的服务层的其他应用程序(iPhone,Android等).我的问题是-如何实现登录?我认为我无法从更传统的基于动词的设计过渡到基于资源的设计.如果我使用SOAP构建它,则可能会有一个称为Login的方法.在REST中,我应该有一个资源.我很难理解如何为登录构
..
我正在使用Spring Security来验证用户是否传递了有效的用户名和密码. 我还想验证用户是否属于特定组. 尽管凭据验证有效,但组成员身份验证无效. 我需要配置ldapAuthoritiesPopulator吗? 解决方案 尽管凭据验证有效,但组成员身份验证无效. 我假设组成员身份是ldap base 和 userDn 的组合. 这是帮助您的代码.
..
如何在Laravel 5中对RESTful API进行身份验证? 我正在使用Laravel 5构建RESTful API和我想将这些API用于移动应用程序. 我还看到了 http://laravel.com/docs/5.0/authentication 但没有得到任何相关示例,请为我提供示例示例或用于验证Laravel 5中的RESTful API的适当链接. 解决方案 我一直在寻
..
我正在使用jwt-simple创建api密钥.基本上,它所做的是encode(secret+data)并将其与请求一起发送.我知道服务器将decode(encode(secret+data))并确认它是有效请求. 在jwt-simple 文档中找到的示例代码: var jwt = require('jwt-simple'); var payload = { foo: 'bar' }; var
..
我有此类使用JVM的JSON Web令牌支持来创建和验证JWT令牌 @Component public class JwtTokenUtil implements Serializable { private static final long serialVersionUID = -3301605592208950415L; private Clock clock =
..
我试图了解JWT,并在网上冲浪各种资源.我找到了显示如何检查JWT是否回火的代码-这是一个很棒的代码,我理解. 但是,我不明白中间人如何使用JWT,中间人既可以查看浏览器数据(认为是图书馆中的公共计算机),也可以嗅探连线(我想这可以避免)通过HTTPS)获取GWT字符串,然后从另一台计算机重播. https://float-middle.com/json-web -tokens-jwt
..
我是使用PostMan的新手;通常我使用curl: 这个获得JTW的人 curl -X POST -H "X-Requested-With: XMLHttpRequest" -H "Content-Type: application/json" -H "Cache-Control: no-cache" -d '{ "username": "peris","password": "3nR
..
我正在使用Slim框架将JSON返回到我的Android设备.我目前正在设备上进行登录.我使用3种不同的登录方式:Facebook,Google和帐户登录.登录帐户后,他可以注册一个新帐户或使用现有帐户登录. 为了确保Web服务的安全性,我考虑使用JWT安全性.因此,我正在阅读和观看有关其工作原理的视频.我想我知道它是如何工作的,但是我找不到关于如何正确实现它的任何信息. 我用于sli
..
JWT规范提到了一个jti声明,据称该声明可以用作现时防止重放攻击: jti(JWT ID)声明为JWT提供了唯一的标识符.标识符值的分配方式必须确保将相同的值偶然分配给不同的数据对象的可能性可以忽略不计;如果应用程序使用多个发行者,则还必须防止不同发行者产生的值之间发生冲突. jti声明可用于防止重播JWT. jti值是区分大小写的字符串.使用此声明是可选的. 我的问题是,我将如何实
..
我正在为Angular SPA编写REST Api网关,但是我面临着针对“数据窃贼"保护SPA API公开的数据的问题.我知道我不能对HTML抓取做很多事情,但是至少我不想为这样的数据窃贼提供用户体验以及发送到SPA的JSON的全部功能. 关于该主题的大多数“教程"和主题之间的区别是,我将这些数据公开到一个公共网站(这意味着不需要用户身份验证),该网站提供了有关视频游戏的有价值的统计信息.
..
除了结构和协议之外,我当时想知道JWT适合客户/服务器通信的地方吗? 是在这里替换身份验证和会话cookie吗? 在这里是为了减轻服务器在数据库或内存中存储会话令牌的压力吗? 客户端是否可以确保他们正在从预期的服务器接收数据,如果这不是问题,我就不需要JWT? 当连接为HTTPS/SSL时,服务器到服务器的通信是否有必要或良好的做法? 解决方案 什么是JWT? 这是只有服
..
根据一些资料(例如),则JWT可以存储在 localStorage 或 Cookies 中.根据我的理解: localStorage 受XSS限制,通常不建议在其中存储任何敏感信息. 使用 Cookies ,我们可以应用标志"httpOnly",以减轻XSS的风险.但是,如果我们要从后端的Cookies中读取JWT,则我们将受到CSRF的约束. 因此,基于上述前提-如果我们将JWT存
..
由于某种原因,当使用json或xml向我的应用程序发布请求时,我收到一个InvalidAuthenticityToken.我的理解是,Rails仅应为html或js请求要求真实性令牌,因此我不应该遇到此错误.到目前为止,我找到的唯一解决方案是禁用我想通过API访问的任何操作的protect_from_forgery,但是出于明显的原因,这不是理想的选择.有想法吗? def creat
..
我正在使用jQuery Mobile,jQuery 1.7.2和PhoneGap构建iPhone应用程序 尝试使用此代码从ASP.NET RESTful Web服务获取JSONP,这是我需要先进行身份验证并获得令牌,然后再次将其发送回去的问题. 这是我的功能: var setToken = function () { var serverToken = ''; $
..
我有一个需要实现安全性的api. 但是没有调用过滤器.我的呼叫直接传递到端点... 我的安全界面 @NameBinding @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE,ElementType.METHOD}) public @interface Seguro {} 我的过滤器 @Seguro
..
我已经阅读了许多关于预检和CORS的答案,所以请不要发布引用我应该阅读的内容的链接。许多答案来自服务器视角,但在这种情况下我是客户端。我是否设置了原始标题?我的假设是这是一个简单的请求,我是对的吗? req.open(“POST”,url,true) ; req.setRequestHeader('Content-Type','application / blahblah'); r
..
我正在使用angularJS处理RESTful SPA应用。目前,初始REST调用是在用户成功登录后在 xyz.com (安全响应cookie)上设置“令牌”cookie。我无法以Javascript / angular读取此cookie,因为我正在使用localhost。 我在这里理解,除非我从xyz.com运行此应用程序,我无法访问此cookie或我是否需要安全连接? 我的理解是否
..
我正在寻找关于如何保护我的其余根资源的一些指示 @Path(“/ employee”) 公共类EmployeeResource { @GET @Produces(“text / html”) public String get( @QueryParam(“name”)String empname, @QueryParam(“sn”)String sn){ //返回数据
..