Tag: 令牌
Iphone设备令牌 – NSData或NSString
我正在以NSData对象的forms接收iPhone设备令牌。 当我testing我的通知脚本function时,我只从日志中复制了该对象,通知进行得很顺利。 但是,当我现在尝试自动执行此操作时,我将设备令牌作为ASCII编码的string以variables的forms发送 self.deviceToken = [[NSString alloc] initWithData:webDeviceToken encoding:NSASCIIStringEncoding]; 我得到的string有一些时髦的字符,并且看起来类似于这个"å-0¾fZÿ÷ʺÎUQüRáqEªfÔk«" 当服务器端脚本发送通知给该令牌时,我没有收到任何东西。 我需要解码的东西,以及如何? Regardz
Devise中的Token Authenticatable模块
我开始在我的Rails应用程序中使用Devise,但Token Authenticatable : 基于身份validation令牌(也称为“单一访问令牌”)模块的用户在我身上困惑。 用户是否仅在当前会话中进行身份validation? 如果他现在使用包含令牌的URL,他可以在晚些时候重新使用它,并且仍然可以访问,还是只有一个访问权限? 多个用户可以同时使用相同的令牌进行身份validation吗? 我已经广泛search了一个工作的例子。 请原谅我,如果这是其他地方解释。 任何指针都会比欢迎。 谢谢你的帮助。
使用Devise令牌login,是内置的?
所以,我试图使用Devise(版本1.0.3和Rails 2.3.8)来让用户login,但我不完全确定从哪里开始。 http://zyphdesignco.com/blog/simple-auth-token-example-with-devise 上面的教程帮助我打开了令牌function,并展示了如何生成(或删除)令牌……但整个令牌的要点是使用它们来授权用户,对吗? 当我在控制台中查看一个用户时,我可以说user.authentication_token,并得到像“Qm1ne93n_XkgmQTvxDmm”,这是很好,但是我从哪里去? 我尝试使用以下命令行命令击中sign_in根: curl -d“authentication_token = Qm1ne93n_XkgmQTvxDmm”localhost:3000 / users / sign_in 而且肯定没有成功login。 在会议控制器中,我看到他们称之为: validation(RESOURCE_NAME) 我所假设的是模块中的某个地方: 包括Devise :: Controllers :: InternalHelpers 哪些被包括,但我不知道在哪里寻找(这绝对不是在源的控制器文件夹)。 如果我可以看看authentication是如何工作的,我可以看看它是否还能看到令牌。 devise让你真的用令牌login,还是只有一个框架来生成它们? 如果它确实让你login他们…你是怎么做到的? 你不能使用curl(即它是否必须在浏览器中?)如果是这样的话,我会推出自己的解决scheme,我需要非浏览器支持。 如果没有,我该如何推出自己的?
Jenkins用户身份validation细节如何被“传递”给使用Jenkins API创build作业的脚本?
我有一个脚本,通过curl HTTP调用删除和重新创build作业,我想摆脱任何硬编码的“用户名:密码”。 例如curl -X POST $url –user username:password 注意事项: jenkinsCLI (可能不是一个选项)。 一个应该能够实现与Jenkins API(创build工作等)相同的CLI,但据我所知,jenkinsCLI不是一个很好的替代品,因为创build工作将只会出现在jenkins后重新启动或“重新加载从磁盘configuration“,这将取消任何其他正在运行的作业。 API令牌 。 找不到如何获取用户令牌,然后将其作为parameter passing给脚本,但这可能是一个解决scheme..
视觉工作室中的令牌:HACK,TODO …任何其他?
什么令牌在视觉工作室中有用? ( visual studio 2010 → 环境 → 任务列表 →令牌) 目前我只有: HACK – 低 评论 – 高 TODO – 正常 跆拳道 – 高 (只有这些 – 删除了一些默认的) 你在用别的吗? 你是否用评论标记覆盖了其他重要的东西? 任何最佳实践? 日Thnx
无法从Facebook获取访问令牌。 有一个OAuthException说:“错误validationvalidation码”
我正在使用Java和我的演示应用程序的目的很简单:更新用户状态。 我遵循http://developers.facebook.com/docs/authentication上的服务器端stream程 。 我得到了auth对话框,facebook导致了callbackurl,并且在我的callback页面中获得了代码 。 然后,当我尝试生成访问令牌时,我失败了。 在指南页面中,它表示可以使用以下URL来生成访问令牌: https://graph.facebook.com/oauth/access_token? client_id=YOUR_APP_ID&redirect_uri=YOUR_URL& client_secret=YOUR_APP_SECRET&code=THE_CODE_FROM_ABOVE 但是在我的环境中发生的是我收到以下错误信息: { "error": { "type": "OAuthException", "message": "Error validating verification code." } } 我很确定每个参数是正确的,因为如果我更改client_id值或client_secret参数,我会得到不同的错误信息。 代码参数是我从Facebook的callback。 所以这应该是正确的,对吗? 真的不知道是什么问题…. 任何想法呢? 我被困在这里
在更改密码和注销node.js时使JWT无效的最佳实践?
我想知道的最佳实践,无需更改密码/注销时db分配JWT无效。 我有下面的想法通过点击用户数据库来处理上述2个案例。 1.密码更改的情况下,我检查存储在用户数据库中的密码(散列)。 2.退出login时,我将最后退出时间保存在用户数据库中,因此通过比较令牌创build时间和退出时间,我可以使这种情况失效。 但是,这两种情况是以每次用户点击api时触及用户db为代价的。 任何最佳实践表示赞赏。 更新:我不认为我们可以使JWT无效,而不击中分贝。 所以我想出了一个解决scheme。 我已经发布了我的答案,如果您有任何疑虑,欢迎您。
生成密码安全令牌
为了生成一个32字符的令牌来访问我们的API,我们目前使用: $token = md5(uniqid(mt_rand(), true)); 我已经读过这种方法不是基于系统时钟的密码保护,而且openssl_random_pseudo_bytes会是一个更好的解决scheme,因为它很难预测。 如果是这种情况,等效代码是什么样的? 我想这样的事情,但我不知道这是对的… $token = md5(openssl_random_pseudo_bytes(32)); 还有什么长度是有道理的,我应该传递给函数?
警告:在API开发的情况下,无法validationCSRF令牌的真实性
我现在正在用Ruby on Rails开发Web API 。 当Rails应用程序收到没有任何csrf标记的POST请求时,将会发生以下错误消息。 因为该应用程序没有意见。 WARNING: Can't verify CSRF token authenticity 所以我的问题是如何在这种情况下安全地转义csrf令牌检查? 非常感谢你提前。
validation从移动(iPhone)应用程序到ASP.Net Web API的请求(请在我的devise中提供反馈)
我正在devise一个网站,将有一个手机伴侣(初始只iPhone)。 该网站将是一个ASP.Net MVC 3应用程序。 我也将有一个ASP.Net Web API网站(MVC 4)公开服务的iPhone应用程序。 iPhone应用程序将具有自己的表单来捕获用户的用户名和密码,并将其发送到JSON头中的Web API。 我想从一开始就考虑安全问题,而不是一个想法。 我不是一个安全专家。 我已经做了大量的研究,看看其他人如何从Web服务处理移动应用程序客户端的身份validation。 我想我已经提出了一个体面的解决scheme,不涉及到第三方oAuths挂钩。 我将非常感谢您提供的任何意见,build议,批评和一般的WTFs。 🙂 我最大的担忧是: 确保对Web API的调用获得授权 最大限度地减less重播攻击的风险(因此下面调用中的时间戳) iPhone应用程序将如此开发: 两个string被硬编码到iPhone应用程序(每个用户的值相同): 应用程序ID 这是一个string,用于识别访问Web API(iPhone,Android,Windows Phone等)的客户端types。 应用程序的散列盐 这是一个string,用于对用户不可知的请求进行哈希散列。 两个string存储在iPhone应用程序的本地数据库中(每个用户独特的值): API用户访问令牌 这是通过Web API在成功validation后提供给客户端的string(令牌),并允许客户端访问Web API,而无需在每个请求中发送用户名和密码。 用户的哈希盐 这是一个用于对已build立的用户帐户进行请求的哈希值的string。 iPhone将通过以下方式调用Web API: API方法:创build帐户 客户端发送: 新帐户资料(使用者名称,密码,名字,姓氏等) 应用程序ID UTC时间戳 UTC时间戳记哈希应用程序的哈希盐 API返回: 新用户的哈希盐 这里的想法是,当创build一个帐户时,我可以使用应用程序的硬编码盐,因为如果盐(通过反编译或其他方式)出来,这不是一个巨大的安全风险。 但对于访问和修改用户数据的方法,我将使用仅由该用户拥有的盐,以便攻击者不能使用它来模拟其他用户。 API方法:获取帐户 (用于在网站上创build但尚未在iPhone上同步的帐户获取用户哈希值。当用户尝试loginiPhone时,iPhone会检测到没有该用户名的logging。) 客户端发送: 用户名 密码(使用应用程序的散列盐进行散列) 应用程序ID UTC时间戳 UTC时间戳记哈希应用程序的哈希盐 […]
