Tag: authentication

OpenID与OAuth: 可能重复： OpenID和OAuth有什么区别？ OpenID和oAuth的区别是什么？他们看起来和我一样。我应该澄清，我打算在drupal中使用它们，如果这有什么区别的话。所以我想我受到drupal中任何模块实现的约束。

什么是最好的分布式蛮力对策？: 首先，有一点背景：我为CodeIgniter实现一个auth + auth系统并不是什么秘密，到目前为止，我赢了（可以这么说）。但是我遇到了一个非常不平凡的挑战（大多数auth库完全错过了，但我坚持正确处理它）：如何智能地处理大规模，分布式，可变用户名的暴力攻击。我知道所有常用的技巧：限制每个IP /主机失败的尝试次数，并拒绝违法者访问（例如Fail2Ban） – 自从僵尸networking变得更加智能以来，将上述内容与一个已知'坏'IP /主机（例如DenyHosts）黑名单 – 依靠僵尸networking＃1，他们越来越不将IP /主机白名单与传统身份validation相结合（对于dynamicIP用户而言，可悲的是无用，大多数网站的stream量都很高）在N分钟/小时的时间内设置一次站点范围内的失败尝试次数限制，并在此之后限制（暂停）所有login尝试，持续几分钟/小时（DoS攻击您的问题将成为僵尸networking玩家）所有使用NOlogin/密码选项的用户的强制性数字签名（公钥证书）或RSA硬件令牌（无疑是一个坚如磐石的解决scheme，但仅适用于封闭的专用服务）强制使用超强密码scheme （例如> 25个带符号的无意义字符 – 对于临时用户来说又不切实际）最后， CAPTCHA （可以在大多数情况下工作，但是对于用户来说很烦，对于一个坚定的，资源丰富的攻击者来说实际上是无用的）现在，这些只是理论上可行的想法。有很多垃圾的想法，打开网站（例如，微不足道的DoS攻击）。我想要的是更好的东西。我的意思是说：它必须是安全的（+）反对DoS和powershell攻击，而不是引入任何新的漏洞，可能会让稍微偷偷摸摸的机器人继续在雷达下工作它必须是自动的。如果它需要人工操作员来validation每个login或监视可疑活动，它不会在真实世界的情况下工作主stream网站的使用必须是可行的（即stream量大，stream量大，可以由非程序员进行开放注册）它不能阻止用户体验到偶然用户会感到烦恼或沮丧（并可能放弃网站）它不能涉及到小猫，除非它们真的很安全的小猫（+）以“安全”来说，我的意思是至less和偏执狂用户保密密码的能力一样安全所以 – 让我们听听吧！你会怎么做？你知道我没有提到的最佳做法吗（噢，请说你这样做）？我承认自己有自己的想法（把3和4的想法结合起来），但是我会让真正的专家在尴尬自己之前先说话;-)

在Go中如何pipe理身份validation？: 对于在Go中构buildRESTful API和JS前端应用程序的人员，您如何pipe理身份validation？你使用任何特定的库或技术？我很惊讶地发现这么less的讨论。我记住下面的答案，并试图避免开发自己的实现： ASP.Net中的身份validation表单每个人都分别编码自己的解决scheme吗？

什么是redirectURI？它如何适用于OAuth2.0的iOS应用程序？: 初学者程序员在这里，请原谅无知和解释将是非常好的:) 我已经尝试阅读某个OAuth 2.0服务的教程，但我不明白这个redirectURI …在我的特定上下文中，假设我正在尝试构build一个使用OAuth 2.0进行某些服务的iPhone应用程序。我有一个生成的应用程序ID，但我需要提供某种types的redirectURI来生成API密钥。这是一个我应该在什么地方托pipe的URL？顾名思义，我认为redirecturl应该是“redirect”某处的某个人。我唯一的猜测是这是用户login到服务后redirect到的URL。然而，即使这个假设是正确的，我不明白另一件事 – 我的应用程序如何将它们发送到浏览器以供用户login后再次打开？

为什么在“隐式”stream程运行良好时，OAuth2中存在“授权码”stream？: 在“隐式”stream程中，客户端（可能是浏览器）将在资源所有者（即用户）授予访问权限后获得访问令牌。然而，使用“授权码”stream程，客户端（通常是Web服务器）在资源所有者（即用户）授予访问权限后才获得授权码。使用该授权码，客户端再次调用API以传递client_id和client_secret以及授权码以获得访问令牌。这里都有很好的描述。两个stream程都具有完全相同的结果：访问令牌。但是，“隐式”stream程要简单得多。问题：为什么要打扰“授权码”stream程，当“隐式”stream程接缝良好？为什么不使用“隐式”的networking服务器？这对提供者和客户来说都是更多的工作。

Android：存储用户名和密码？: 如果我想存储在Android应用程序中使用的用户名和密码，最好的办法是什么？是通过首选项屏幕（但如果用户错过了这个？），或popup一个对话框，并要求用户的凭据？如果是这样，我必须保持申请状态。我将如何做到这一点？

如何检查用户是否login（如何正确使用user.is_authenticated）？: 我正在看这个网站，但似乎无法弄清楚如何做到这一点，因为它不工作。我需要检查当前的网站用户是否login（validation），并试图： request.user.is_authenticated 尽pipe确定用户已经login，但它只返回： > 我可以做其他的请求（从上面的url第一部分），如： request.user.is_active 这将返回一个成功的响应。

在Subversion中，我可以成为除我的login名之外的用户吗？: 我想知道如何让Subversion更改我的更改显示的名称。我刚开始使用Subversion 。我正在使用它在XP笔记本电脑上的版本控制代码，我总是以我妻子的名字login。我想颠覆数据库来显示我的名字下的变化。稍后我将复制数据库，以便整个房子都可以使用。我的妻子使用的办公室电脑，她总是以我的名义login。我可能会设置它，以便自动检查修改后的文档…最好在她的名下。最终我可能会从另一个用户名下的Linux机器上使用它。有没有办法修改用户环境来改变Subversion调用你的用户名？我期望像设置SVN_USERNAME='Mark'这将重写，但它通常会得到的名称。更新：看起来像Michael提到的–username标志确实可以改变"svn stat"报告的名字，即使是本地文件：存储库。此外，它是粘性的，所以你不需要为下一个命令指定它。我甚至重新启动，它仍然使用我以前的启动"–username"值。

用户authentication库为node.js？: 是否有任何现有的用户authentication库node.js？特别是我正在寻找一些可以为用户进行密码validation（使用自定义后端validation数据库），并将该用户与会话相关联。在我写一个auth库之前，我想我会看看大家是否知道现有的库。通过谷歌search找不到任何明显的东西。 -Shreyas

Google OAuth 2授权 – 错误：redirect_uri_mismatch: 在网站https://code.google.com/apis/console上，我注册了我的应用程序，将生成的客户端ID和客户端密钥设置为我的应用程序，并尝试使用Googlelogin。不幸的是，我收到了错误信息： Error: redirect_uri_mismatch The redirect URI in the request: http://127.0.0.1:3000/auth/google_oauth2/callback did not match a registered redirect URI scope=https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email response_type=code redirect_uri=http://127.0.0.1:3000/auth/google_oauth2/callback access_type=offline approval_prompt=force client_id=generated_id 这个信息是什么意思，我该如何解决？我使用gem omniauth-google-oauth2 。