Tag: authentication
如何做无状态(无会话)和无cookie的身份validation?
Bob使用Web应用程序来实现某些function。 和: 他的浏览器正在节食,因此它不支持cookies 。 Web应用程序是一个非常stream行的应用程序,它在特定时刻处理很多用户 – 它必须很好地扩展 。 只要保持会话会对同时连接的数量施加限制 ,当然会带来不可忽视的性能损失 ,所以我们可能希望有一个无会话的系统:) 一些重要的说明: 我们确实有运输安全 ( HTTPS及其最好的朋友); 在幕后,Web应用程序将代表当前用户的许多操作委托给外部服务 (这些系统将Bob识别为其用户之一) – 这意味着我们必须将Bob的凭据转发给他们 。 现在,我们如何validation鲍勃(每个请求)? 这将是一个合理的方式来实现这样的事情? 通过HTMLforms的隐藏字段与证书打网球 … 球包含的凭据( 用户名和密码 )和两个球拍分别是浏览器和Web应用程序。 换句话说,我们可以通过表单域而不是通过cookie来回传输数据。 在每个Web请求中,浏览器都会发布凭证。 尽pipe在单页应用的情况下,这可能看起来像在墙壁上打壁球 ,而不是打网球 ,因为包含凭证的网页表单可能在网页的整个生命周期(以及服务器将被configuration为不提供凭证)。 存储在页面的上下文中的用户名和密码 – JavaScriptvariables等单页需要在这里,恕我直言。 encryption的基于令牌的authentication。 在这种情况下,login操作将导致生成一个encryption的安全令牌(用户名+密码+其他)。 这个令牌将被返回给客户端,并且即将到来的请求将伴随令牌。 这有道理吗? 我们已经有HTTPS … 其他… 最后的手段:不要这样做,在会话中存储凭据! 会议是好的。 有或没有cookies。 关于前面提到的任何想法,是否会出现任何networking/安全问题? 例如, 超时 – 我们可能会保留一个时间戳 ,以及证书(时间戳=鲍勃input证书的时间)。 例如,当NOW – 时间戳>阈值时 ,我们可能会拒绝该请求。 […]
通过Active Directory使用LDAP在PHP中进行身份validation
我正在寻找一种方法来通过LDAP(使用Active Directory作为提供者)对LDAP进行身份validation。 理想情况下,它应该能够在IIS 7上运行( adLDAP在Apache上运行)。 任何人都做过类似的事情,成功了吗? 编辑:我更喜欢一个图书馆/类的代码准备去…当有人已经这样做了发明轮子是愚蠢的。
REST风格的Web服务 – 如何authentication来自其他服务的请求?
我正在devise一个需要被用户访问的REST风格的Web服务,也包括其他Web服务和应用程序。 所有传入的请求都需要进行身份validation。 所有通信都通过HTTPS进行。 用户authentication将基于通过将用户名和密码(通过SSL连接)发布到由服务提供的/会话资源而获取的authentication令牌来工作。 在Web服务客户端的情况下,在客户端服务之后没有最终用户 。 这些请求由计划的任务,事件或一些其他计算机操作启动。 连接服务列表事先已知(显然,我猜)。 我应该如何validation来自其他(networking)服务的这些请求? 我希望validation过程尽可能容易地实现这些服务,但不以安全为代价。 这样的场景的标准和最佳实践是什么? 我可以想到的选项(或者已经向我build议): 让客户端服务使用“假”用户名和密码,并以与用户相同的方式对其进行身份validation。 我不喜欢这个选项 – 只是觉得不对。 为客户端服务分配永久的应用程序ID,也可能是应用程序密钥。 据我了解,这是有相同的用户名+密码。 有了这个ID和密钥,我可以对每个请求进行身份validation,或者创build一个身份validation令牌来validation进一步的请求。 无论哪种方式,我不喜欢这个选项,因为任何能够获得应用程序ID和密钥的人都可以模拟客户端。 我可以添加一个IP地址检查到以前的选项。 这将使得执行虚假请求变得更困难。 客户端证书。 设置我自己的证书颁发机构,创build根证书,并为客户机服务创build客户机证书。 但是,有几个问题想到:a)如何仍然允许用户在没有证书的情况下进行身份validation; b)从客户端服务的angular度来看,这种情况有多复杂? 还有其他的东西 – 那里必须有其他的解决scheme吗? 我的服务将运行在Java上,但是我特意留下了关于它将构build的具体框架的信息,因为我对基本原则更感兴趣,而不是更多地关注实现细节 – 我认为这是最好的解决scheme无论底层框架如何,都可以实现。 不过,我对这个主题有点不熟悉,所以对于实际实现(如有用的第三方库,文章等)的具体提示和例子也将非常感激。
AngularJS:在单页面应用程序中使用身份validation的基本示例
我是AngularJS的新手,并通过他们的教程,并有一个感觉。 我为我的项目准备了一个后端,每个REST端点都需要进行身份validation。 我想做的事 a。)我想为我的项目http://myproject.com有一个单独的页面。 b。)一旦用户点击浏览器中的URL,根据用户是否login,他会在同一个urlhttp://myproject.com下出现主页/视图或login页面/视图。 c。)如果用户没有login,则填写表单,并且服务器在会话中设置USER_TOKEN ,所有对端点的进一步请求将基于USER_TOKEN 我的困惑 a。)如何使用AngularJS处理客户端身份validation? 我在这里和这里看到,但不明白如何使用它们 b。)如何根据用户是否login或不在同一urlhttp://myproject.com向用户展示不同的视图 我第一次使用angular.js,真的很困惑如何开始。 任何build议和/或资源非常感谢。
基于cookie的身份validation如何工作?
有人能给我一步一步的描述如何基于cookie的身份validation的作品? 我从来没有做过涉及authentication或cookies的任何事情。 浏览器需要做什么? 服务器需要做什么? 按什么顺序? 我们如何保持安全? 我一直在阅读有关不同types的身份validation和cookie的问题,但是我想了解如何将两者结合使用的基本描述 – 我只读过它们经常一起使用,但无法find如何描述。
Socket.IO身份validation
我试图在Node.js中使用Socket.IO,并试图让服务器给每个Socket.IO客户端一个身份。 由于套接字代码超出了http服务器代码的范围,因此它不容易访问发送的请求信息,所以我假定在连接期间需要发送它。 什么是最好的方式 1)通过Socket.IO获取有关谁正在连接的信息 2)validation他们说他们是谁(我目前正在使用Express,如果这使事情更容易)
“忘记密码”实施的最佳途径?
我正在寻找实施“忘记密码”function的最佳方法。 我有两个想法: 当用户点击忘记密码时,用户需要input用户名,电子邮件,可能是出生date或姓氏。 然后一个带有临时密码的邮件将被发送到用户的电子邮件帐户。 用户使用临时密码login并重置他的密码。 类似的,但电子邮件将包含一个链接,让用户重置他的密码。 或者任何人都可以build议我一个更好和更安全的方式 我也想发送临时密码或链接,强制用户在24小时内重置密码,否则临时密码或链接将不可用。 怎么做?
ASP.NET Web API身份validation
我正在寻找使用ASP.NET Web API在客户端应用程序中对用户进行身份validation。 我已经观看了网站上的所有video,并阅读了此论坛post 。 正确放置[Authorize]属性将返回401 Unauthorized状态。 但是,我需要知道如何让用户login到API。 我想从Android应用程序提供用户凭据到API,让用户login,然后所有后续的API调用预先authentication。
摘要和基本身份validation有什么区别?
摘要和基本身份validation有什么区别?
Google身份validation器可用作公共服务?
在自行运行(例如LAMP堆栈)Web应用程序中是否有使用Google Authenticator (双因素authentication)的公共API?
