Tag: 授权

Google云端点限制…任何build议的解决scheme？: 我是否认为云端点的优点具有以下限制： REST API不能部署到自定义域（它将保留在appspot.com上）。唯一支持的身份validation是针对Google帐户的OAuth。推论：目前不可能创build一个用户login/会话跟踪机制，这个机制是Google帐户不可知的（例如，用email作为用户名和密码）。有没有计划去消除这些限制，如果是的话，ETA是什么？

扩展AuthorizeAttribute覆盖AuthorizeCore或OnAuthorization: 使用ASP.NET MVC我创build一个自定义的授权属性来照顾一些自定义的授权逻辑。我看了很多例子，这是非常简单的，但我的问题是哪个方法是最好的重写，AuthorizeCore或OnAuthorization？我看到很多例子都凌驾于其中。有区别吗？

REST API授权和authentication（网页+手机）: 我已阅读oAuth，亚马逊REST API，HTTP基本/摘要等，但不能把它全部“一块”。这可能是最接近的情况 – 为移动应用程序创buildAPI – 身份validation和授权我想build立以API为中心的网站 – 服务。所以（一开始）我会有一个API在中心和网站（PHP + MySQL）通过networking接口通过cURL ， Android和iPhone连接。所以3个主要客户 – 3个API密钥。而任何其他开发者也可以通过API接口开发，他们将获得自己的API密钥。 API行为将被接受/拒绝基于userLevel状态，如果我是一个pipe理员我可以删除任何东西等，所有其他可以操纵只有他们的本地（帐户）数据。首先，授权 – 我应该使用oAuth + xAuth还是我自己的某种types的实现（请参阅http://docs.amazonwebservices.com/AmazonCloudFront/latest/DeveloperGuide/RESTAuthentication.html?r=9197 ）？据我所知，在亚马逊服务用户是== API用户（有API密钥）。在我的服务上，我需要将标准用户/帐户（在网站上注册的用户）和开发者帐户（应该有他们的API密钥）分开。所以我首先需要授权API密钥，然后validation用户本身。如果我使用亚马逊的scheme来检查开发人员的API密钥（授权他们的应用程序），我应该使用什么样的用户身份validation？我读了关于通过api.example.org/auth （通过HTTPS ，HTTP Basic）发布我的用户名和密码，然后每转发一次请求。如果我在Android和网站上同时login，如何pipe理令牌？如果我只在第一次请求时（在传输用户名和密码的时候）只使用SSL，而在另一端只使用HTTP，那么中间人攻击又如何呢？在这个例子中是不是一个问题保护REST服务的密码？

ASP.NET Core中基于令牌的身份validation（刷新）: 我正在使用ASP.NET Core应用程序。我试图实现基于令牌的身份validation，但无法弄清楚如何使用新的安全系统。我的场景：客户端请求令牌。我的服务器应授权用户，并返回客户端在以下请求中使用的access_token。这里有两个关于实现我所需要的伟大的文章：基于令牌的身份validation使用ASP.NET Web API 2，Owin和Identity 使用JSON Web令牌问题是 – 我不明白如何在ASP.NET Core中做同样的事情。我的问题是：如何configurationASP.NET Core Web Api应用程序使用基于令牌的身份validation？我应该追求什么方向？你写了关于最新版本的任何文章，或知道我能find哪些？谢谢！

如何在ASP.NET MVC 5中实现自定义身份validation: 我正在开发一个ASP.NET MVC 5应用程序。我有一个现有的数据库，从中创build了我的ADO.NET实体数据模型。我在那个包含“用户名”和“密码”列的数据库中有一个表，我想用它们在我的Web应用程序中实现validation和授权; 我无法创build任何其他数据库或表或列，因为客户的要求，我不能使用标准的身份validation。我不需要pipe理注册，密码更改或其他东西：只需使用密码和用户名login。我怎样才能做到这一点？

为什么在下面的例子中包含<deny users =“？”/>？: 这个? 通配符表示未authentication的用户， *表示所有用户，已authentication且未authentication。我的书显示了以下URL授权示例： <authorization> <deny users="?" /> <allow users="dan,matthew" /> <deny users="*" /> </authorization> 但是上面的代码不会有如下效果： <authorization> <allow users="dan,matthew" /> <deny users="*" /> </authorization> 还是作者还包括<deny users="?" /> <deny users="?" />规则是有原因的？

如何正确使用cURL定义基本的HTTPauthentication？: 我正在学习Apigility（ Apigility docu – > REST Service Tutorial ），并尝试通过cURL发送带有基本身份validation的POST请求： $ curl -X POST -i -H "Content-Type: application/hal+json" -H "Authorization: Basic YXBpdXNlcjphcGlwd2Q=" http://apigilityhw.sandbox.loc/status YXBpdXNlcjphcGlwd2Q=是我的证书apiuser:apipwd的基础64编码的string。凭证保存在/data/htpasswd （ apiuser:$apr1$3J4cyqEw$WKga3rQMkxvnevMuBaekg/ ）中。看起来像这样： HTTP/1.1 401 Unauthorized Server: nginx/1.4.7 Date: Mon, 22 Sep 2014 07:48:47 GMT Content-Type: application/problem+json Transfer-Encoding: chunked Connection: keep-alive X-Powered-By: PHP/5.5.12-1~dotdeb.1 WWW-Authenticate: Basic realm="api" 这里的错误在哪里？如何得到它的工作？

传统Web应用程序和API中的身份validation，授权和会话pipe理: 如果我错了，请纠正我：在传统的Web应用程序中，浏览器会自动将会话信息附加到对服务器的请求中，以便服务器知道请求来自谁。实际上究竟追加了什么？但是，在基于API的应用程序中，这些信息不会自动发送，所以在开发API时，我必须检查自己，例如请求是否来自经过身份validation的用户？这通常如何完成？

ASP.NET MVC中的用户身份validation和授权: ASP.NET MVC中用户授权/authentication的最佳方法是什么？我看到有两种方法：使用内置的ASP.NET授权系统。使用我自己的User，Permission，UserGroup表等自定义系统我更喜欢第二种select，因为用户是我的领域模型的一部分（而且我对ASP.NET的内置东西没有经验），但我真的很想听听人们在这方面做了些什么。

授权具有多个angular色的属性: 我想将授权添加到控制器，一次为多个angular色。通常情况下，看起来像这样： [Authorize(Roles = "RoleA,RoleB,RoleC")] public async Task<ActionResult> Index() { } 但是我已经把我的angular色存储在const中，因为它们可能会在某些时候改变或延长。 public const RoleA = "RoleA"; public const RoleB = "RoleB"; public const RoleC = "RoleC"; 我不能这样做，因为在编译时必须知道string： [Authorize(Roles = string.join(",",RoleA,RoleB,RoleC)] public async Task<ActionResult> Index() { } 有没有办法来解决这个问题？我可以写一个只包含“RoleA，RoleB，RoleC”的const – 但我不喜欢魔术string，这是一个魔术string。更改angular色的名称并忘记更改组合string将是一场灾难。我正在使用MVC5。 ASP.NET身份和angular色在编译时已知。