Tag: authentication

为当前用户获取NetworkCredential(C#)

我试图调用一个控制台应用程序的Web服务,我需要提供一个System.Net.NetworkCredential对象的客户端。 是否可以为启动应用程序的用户创buildNetworkCredential对象而不提示用户名/密码?

NTLM代理没有密码?

我使用HTTP代理工作在一个企业Windowsnetworking(我login到)。 当我使用Internet Explorer时,神奇地使用代理,而不需要input我的密码。 某些其他程序似乎也pipe理这个,就像JavaWebStart有一个“使用浏览器设置”选项。 然而,当我使用curl或wget等脚本/程序从http获取内容时,或者在我的Java代码中执行时,我似乎需要将密码存储在某处,这对于安全性来说显然不是最好的。 我怎样才能以编程方式获得Internet Explorer的无密码访问? 我认为这是一个堆栈溢出的问题,因为我是一个程序员,我需要我的程序/脚本工作,而不input密码,但我可以看到,其他人可能认为它属于服务器故障/超级用户。 我知道像curl中的–proxy-ntlm这样的设置,但是这仍然需要一个ntlm用户名和密码。

春季安全AuthenticationManager与AuthenticationProvider?

有人能告诉我在Spring Security中AuthenticationManager和AuthenticationProvider的区别吗? 他们如何使用,他们如何被称为。 我的理解是一个SecurityFilter会调用AuthenticationManager来authentication一个Authentication对象? 但是AuthenticationProvider在哪里起作用呢? 谢谢!

如何将SSL添加到使用httplistener的.net应用程序 – 它将不会在IIS上运行

最近的粗体编辑我使用.net HttpListener类,但我不会在IIS上运行,而不是使用ASP.net。 这个网站描述了实际使用什么代码来实现与asp.net的SSL, 这个网站描述了如何设置证书(虽然我不知道它是否只适用于IIS)。 类文档描述了各种types的authentication(基本,摘要,Windows等)—它们都不涉及SSL。 它确实表示,如果使用HTTPS,则需要设置服务器证书 。 这将是一个单行的属性设置和HttpListener算出其余的? 总之,我需要知道如何设置证书以及如何修改代码来实现SSL。 虽然在尝试访问HTTPS时不会发生,但是我在系统事件日志中发现了一个错误 – 源是“Schannel”,消息的内容是: 尝试访问SSL服务器凭证私钥时发生致命错误。 从encryption模块返回的错误代码是0x80090016。 编辑: 迄今采取的步骤 在C#中创build一个可用于HTTP连接的工作HTTPListener(例如“ http:// localhost:8089 / foldername / ” 使用makecert.exe创build一个证书 使用certmgr.exe添加了要信任的证书 使用Httpcfg.exe来侦听testing端口上的SSL连接(例如8090) 通过listener.Prefixes.Add( https:// localhost:8090 / foldername / “)将端口8080添加到HTTPListener中。 在浏览器中testingHTTP客户端连接,例如( http:// localhost:8089 / foldername / ),并接收正确的返回 在浏览器中testing了HTTPS客户端连接,例如( http:// localhost:8090 / foldername / ),并接收到“数据传输中断”(在Firefox中) 在Visual Studio中进行debugging显示,当HTTPS连接开始时,接收请求的侦听器callback不会被触发 – 我没有看到任何可以设置断点的位置来捕捉其他事情。 netstat显示侦听端口对于HTTPS和HTTP都是开放的。 在尝试连接后,HTTPS端口将转至TIME_WAIT。 提琴手和HTTPAnalyzer不捕捉任何stream量,我想它没有得到足够的过程中显示在这些HTTP分析工具 问题 […]

如何在UIWebView中显示身份validation挑战?

我试图通过UIWebView访问一个安全的网站。 当我通过safari访问它时,我得到了一个身份validation的挑战,但是在我的UIWebView中并没有出现在应用程序中。 我怎样才能让它出现? 任何指针,示例代码或链接将非常有帮助。 非常感谢。

如果智威汤逊被盗?

我正在尝试使用JWT为我的RESTful API实现无状态身份validation。 AFAIK,JWT基本上是一个在REST调用期间作为HTTP头传递的encryptionstring。 但是如果窃听者看到了请求并窃取了令牌呢? 那么他可以用我的身份伪造请求? 实际上,这个问题适用于所有基于令牌的authentication 。 如何防止呢? 像HTTPS这样的安全通道?

Gitolite One用户 – 许多密钥 – 不同的用户名

我希望按照说明设立gitolite,一切工作都按计划进行。 我对用户名部分是如何工作的稍微不确定,并且查看文档并没有帮助我 – 也许我错过了一些简单的东西。 如果我有两台客户端机器供一个真人使用,但是在每台机器上都有用户名,比如dave和david。 我怎样才能组织在keydir和任何configuration文件中的密钥,使他们都代表相同的用户? 我得到了后缀的东西,戴夫@笔记本电脑,戴夫@桌面(我认为),而不是如何有不同的客户机用户名连接,因为它似乎寻找此身份validation(可能是因为公钥包含用户@主机信息?) 如果需要,我可以提供更多的细节 – 我只是不想用无关的信息轰炸你们。 非常感谢。

启用2FA后,Git身份validation失败

我只是启用2FA(我想不出任何其他更改),并要求我的用户名和密码。 我提供了两个,但他们是“错误的”。 我在这里尝试了很多的解决scheme: Git推送需要用户名和密码,但没有奏效。 特别是,当从https切换到ssh时,ssh密钥给出 权限被拒绝(publickey)。 致命的:无法从远程存储库读取。 $ git push warning: push.default is unset; its implicit value is changing in Git 2.0 from 'matching' to 'simple'. To squelch this message and maintain the current behavior after the default changes, use: git config –global push.default matching To squelch this message and adopt the new behavior now, […]

应该如何在服务器端使用Facebook用户访问令牌?

前言 我正在开发几个Web服务和一些客户端(Web应用程序,手机等),这些客户端将通过HTTP与所述服务进行接口。 我目前的工作是为产品devise一个authentication和授权解决scheme。 我已决定利用Facebook,Google,Microsoft,Twitter等外部身份提供商进行身份validation。 我试图解决这个问题,“当请求到达我的服务器时,我怎么知道用户是谁,我怎么能确定?”。 下面还有更多的问题 要求 依靠外部身份来表明我正在处理的是谁(“userId”本质上就是我所关心的)。 系统应该使用基于令牌的authentication(而不是cookie,例如基本authentication)。 我相信这是跨多个客户端和服务器进行扩展,同时提供松散耦合的正确select。 工作stream程 基于我对基于令牌的身份validation的阅读和理解,以下是我如何想象工作stream程。 现在让我们在网页浏览器上关注Facebook 。 我的假设是,其他外部身份提供者应该有类似的能力,虽然我还没有确认。 请注意,截至撰写时,我将基于Facebooklogin版本2.2以下 客户端:使用JavaScript SDK启动Facebook的login Facebook:用户authentication和批准应用程序权限(例如访问用户的公开个人资料) Facebook:向包含用户的访问令牌,ID和签名请求的客户端发送响应 客户端:在浏览器会话中存储用户访问令牌( 方便地由SDK处理 ) 客户端:通过在授权标头中发送用户的访问令牌+用户的标识(潜在地在自定义标头中)向我的Web服务请求安全资源, 服务器:从请求头读取用户访问令牌,并通过向Facebook提供的debug_tokengraphicsAPI发送请求来启动validation Facebook:使用用户访问令牌信息(包含appId和userId)回应服务器 服务器:通过比较appId与预期(本身已知)和userId与客户端请求上发送的内容的比较来完成令牌的validation 服务器:用请求的资源响应客户端(假定愉快的授权path) 我想象的步骤5-9将重复随后的请求到服务器(而用户的访问令牌是有效的 – 没有过期,从FB侧撤销,应用程序权限改变等) 以下是帮助您完成步骤的图表。 请理解这个系统不是一个单一的页面应用程序(SPA)。 提到的Web服务是API端点,将JSON数据本质上提供给客户端; 他们不提供HTML / JS / CSS(除了Web客户端服务器)。 问题 首先,根据我的序言和要求,有没有明显的差距/陷阱? 正在执行一个出站请求到Facebookvalidation访问令牌(上面的步骤6-8) 每客户端请求 /推荐? 我至less知道,我必须validation来自客户端请求的访问令牌。 但是,第一个后续validation的推荐方法对我来说是未知的。 如果有典型的模式,我有兴趣听到它们。 根据我的要求,我明白他们可能是依赖于应用程序; 然而,我只是不知道该找什么。 一旦我有一个基本的想法,我会尽职尽责。 例如,可能的想法: 首次validation完成后,将访问令牌+ userId对散列,并将其存储在分布式caching中(所有Web服务器均可访问),并且有效期等于访问令牌。 在随后来自客户端的请求中,对访问令牌+用户ID对进行散列并检查其在caching中的存在。 如果存在,则请求被授权。 […]

使用邮件和密码通过REST API进行身份validation

我想知道是否可以在不使用自定义身份 validation的情况下对Firebase REST API进行身份validation ? 我已经与Firebase合作了一段时间,目前我正考虑将我的后端迁移到Firebase。 使用后端的应用程序当前使用REST API,根本不需要实时数据。 因此,我只想使用REST API,而不是客户端上的完整Android框架。 是否可以通过HTTP请求使用Firebase的邮件和密码authentication来获得authentication令牌? 在旧文档中,我只find了自定义login的解决scheme,在新文档中您似乎需要Google服务帐户。 任何帮助或build议表示赞赏。