Tag: authentication

如何configuration在Django注销后redirect的位置？: 只是想知道在哪里我可以设置URLlogin后redirect到。我知道你可以设置loginurl。我想redirect到我的主页。

Spring Security 3使用Hibernate进行数据库validation: 我需要从数据库authentication用户，Spring Security文档不告诉如何用hibernate进行authentication。这是可能的，我该怎么做？

Elasticsearch中的身份validation: 如何在Elasticsearch中定义安全访问？我有elasticsearch-head插件，但您的访问不需要任何安全性。

SVN更改用户名: 我发现了很多关于如何更改特定版本的用户名的例子。但是我需要的是这样的：我使用一个同事的身份validation凭证进行结账，并且需要将其更改为我的凭据以供将来提交。由于已经完成了许多变更，我不能只凭借凭证结帐… 任何人都熟悉这个？

使用Facebook进行身份validation的网站的REST API: 我们有一个网站，在网站上login和validation自己的网站的唯一方法是与Facebook（这不是我的select）。当您第一次使用Facebooklogin时，会自动为您创build一个帐户。我们现在要为我们的网站创build一个iPhone应用程序，并且为他人使用我们的服务提供一个公共API。这个问题是关于如何从应用程序/ APIauthentication我们的网站，并分成两部分：什么是正确的方式来处理RESTauthentication从API到只使用Facebook OAuth作为身份validation方法的网站？我已经阅读并研究了很多关于REST API的标准authentication方法。我们不能使用基于HTTPS的基本身份validation之类的方法，因为没有这样的用户证书。像这样的东西似乎只是用于validation使用API的应用程序。目前，我能想到的最好方法是在API上点击/授权端点，redirect到Facebook OAuth，然后redirect回站点，并提供API的用户可以使用的“令牌”来validation后续要求。对于我们创build的官方应用程序，我们不一定需要以相同的方式使用公共API。那么与我们的网站交谈并authentication用户的最佳方式是什么？我理解（我认为）如何使用API（公共）密钥和秘密（私人）密钥来authentication使用我们的API的第三方应用程序。但是，当涉及到authentication使用该应用程序的用户时，我们对如何解决这个问题感到困惑，因为我们必须对Facebook进行身份validation。我觉得我错过了一些非常明显的东西，或者不完全了解公共REST API应该如何工作，所以任何build议和帮助将不胜感激。

保护网站pipe理部分的最佳做法是什么？: 我想知道人们认为保护网站pipe理部分的最佳做法，特别是从authentication/访问的angular度来看。当然有很明显的事情，例如使用SSL和logging所有访问，但是我想知道以上这些基本步骤的人们认为设置栏。例如：你只是依靠你用于普通用户的authentication机制吗？如果不是，什么？你是否在同一个“应用程序域”中运行pipe理部分？您采取了哪些步骤来使pipe理部分未被发现？（或者你拒绝整个“默默无闻”的东西）到目前为止，来自回答者的build议包括：在每个pipe理员密码检查中引入仿真的服务器端暂停，以防止暴力攻击[开发人员艺术] 使用单独的login页面为用户和pipe理员使用相同的数据库表（阻止XSRF和会话窃取授予访问pipe理区） [大师] 考虑也添加web服务器本地身份validation到pipe理区（例如通过.htaccess） [大师] 考虑一些失败的pipe理员login尝试后阻止用户的IP [大师] 失败的pipe理员login尝试后添加validation码[贼大师] 为用户和pipe理员提供同样强大的机制（使用上述技术）（例如，不要专门对待pipe理员） [Lo'oris] 考虑二级authentication（例如客户端证书，智能卡，纸牌空间等） [JoeGeeky] 只允许从受信任的IP /域访问，如果可能的话，将检查添加到基本的HTTPpipe道（通过例如HttpModules）。 [JoeGeeky] [ASP.NET]lockingIPrincipal＆Principal（使它们不可变且不可枚举） [JoeGeeky] 联合权限提升 – 例如在任何pipe理员权限升级时向其他pipe理员发送电子邮件。 [JoeGeeky] 考虑pipe理员的细粒度权限 – 例如，而不是基于angular色的权限，为每个pipe理员的个别行为定义权限[JoeGeeky] 限制创buildpipe理员 – 例如pipe理员不能更改或创build其他pipe理员帐户。使用locking的“superadmin”客户端。 [JoeGeeky] 考虑客户端SSL证书或RSAtypes密钥（电子令牌） [Daniel Papasian] 如果使用Cookie进行身份validation，则对pipe理员和常规页面使用单独的Cookie，例如，将pipe理员部分放在不同的域上。 [Daniel Papasian] 如果可行，请考虑将pipe理站点保留在私有子网上，不要使用公共互联网。 [John Hartsock] 当在网站的pipe理员/正常使用情况之间移动时重新发放authentication/会话票证[Richard JP Le Guen]

如果有基本授权，如何在Node.js中使用http.client: 按照标题，我该怎么做？这是我的代码： var http = require('http'); var client = http.createClient(80, 'www.example.com'); // to access this url i need to put basic auth. var request = client.request('GET', '/', {'host': 'www.example.com'}); request.end(); request.on('response', function (response) { console.log('STATUS: ' + response.statusCode); console.log('HEADERS: ' + JSON.stringify(response.headers)); response.setEncoding('utf8'); response.on('data', function (chunk) { console.log('BODY: ' + chunk); }); });

如何在RESTful Web服务中实现login？: 我正在构build一个带有服务层的Web应用程序。服务层将使用RESTfuldevise来构build。我们的想法是，将来有一段时间我们可能会构build其他应用程序（iPhone，Android等），它们使用与Web应用程序相同的服务层。我的问题是这个 – 我如何实现login？我想我在从一个更传统的基于动词的devise转向基于资源的devise方面遇到了麻烦。如果我用SOAP构build这个，我可能会有一个名为Login的方法。在REST中，我应该有一个资源。我很难理解如何构build我的URIlogin。应该是这样的： http：// myservice / {用户名}？p = {密码} 编辑：前端Web应用程序使用传统的ASP.NET框架进行身份validation。但是，在身份validation过程中，我需要validation提供的凭据。在传统的Web应用程序中，我将执行数据库查找。但在这种情况下，我正在调用一个服务，而不是做一个数据库查询。所以我需要一些服务来validation提供的凭据。除了validation所提供的证书之外，我还可能在成功通过validation之后还需要一些有关用户的信息，比如他们的全名，ID等等。我希望这个问题更清楚。还是我没有想到这个正确的方法？我觉得我很难正确描述我的问题。科瑞

Python的urllib2基本身份validation问题: 更新：基于李的评论，我决定将我的代码压缩成一个非常简单的脚本，并从命令行运行它： import urllib2 import sys username = sys.argv[1] password = sys.argv[2] url = sys.argv[3] print("calling %s with %s:%s\n" % (url, username, password)) passman = urllib2.HTTPPasswordMgrWithDefaultRealm() passman.add_password(None, url, username, password) urllib2.install_opener(urllib2.build_opener(urllib2.HTTPBasicAuthHandler(passman))) req = urllib2.Request(url) f = urllib2.urlopen(req) data = f.read() print(data) 不幸的是，它仍然不会生成Authorization标题（每个Wireshark）:( 我在通过urllib2发送基本的AUTH时遇到问题。我看了这篇文章，并按照这个例子。我的代码： passman = urllib2.HTTPPasswordMgrWithDefaultRealm() passman.add_password(None, "api.foursquare.com", username, password) urllib2.install_opener(urllib2.build_opener(urllib2.HTTPBasicAuthHandler(passman))) req = […]

微服务authentication策略: 我很难为微服务体系结构select体面/安全的身份validation策略。我在这个主题上发现的唯一的SOpost是这样的：微服务架构中的单点login 我的想法是在每个服务（例如身份validation，消息传递，通知，configuration文件等）中为每个用户提供一个唯一的引用（在逻辑上与他的user_id相当），并且可以在login时获得当前用户的id 。从我的研究中，我发现有两种可能的策略： 1.共享架构在这个策略中，authentication应用程序是一个服务。但每个服务必须能够进行转换session_id => user_id所以它必须是死的简单。这就是为什么我想到Redis，它会存储关键字：value session_id:user_id 。 2.防火墙架构在这种策略中，会话存储并不重要，因为它只能由validation应用程序处理。然后user_id可以转发到其他服务。我想过Rails + Devise（+ Redis或者mem-cached，或者cookie存储等），但是有很多的可能性。唯一重要的是Service X将永远不需要authentication用户。这两个解决scheme如何比较：安全稳健性可扩展性使用方便或者，也许你会build议我在这里没有提到的另一个解决scheme？我更喜欢解决scheme＃1，但是还没有find太多的默认实现来保证我的方向正确。我希望我的问题没有结束。我真的不知道还有什么要问的。提前致谢