Tag: authentication

如何用用户名和密码保护MongoDB: 我想为我的MongoDB实例设置用户名和密码authentication，以便任何远程访问都会询问用户名和密码。我尝试从MongoDB网站的教程，并做了如下： use admin db.addUser('theadmin', '12345'); db.auth('theadmin','12345'); 在那之后，我再次离开并且跑了mongo。我不需要密码来访问它。即使我远程连接到数据库，我也不会提示input用户名和密码。更新这里是我最终使用的解决scheme 1) At the mongo command line, set the administrator: use admin; db.addUser('admin','123456'); 2) Shutdown the server and exit db.shutdownServer(); exit 3) Restart mongod with –auth $ sudo ./mongodb/bin/mongod –auth –dbpath /mnt/db/ 4) Run mongo again in 2 ways: i) run mongo first then login: […]

如何清除chrome中的基本authentication详细信息: 我正在使用基本身份validation的网站上工作。使用Chrome我已经使用基本身份validationlogin。我现在想要从浏览器中删除基本的authentication细节，并尝试不同的login。如何在使用Chrome时清除当前的基本身份validation详细信息？

如何使用REST API进行身份validation？（浏览器+本机客户端）: 我正在使用Rails构build一个Web应用程序。目前，我正在使用HTTP会话的devise很容易设置，它运作良好。该应用程序由一个提供AJAX Web应用程序的URL组成。其余的可用URL属于REST API。所以，一切和每一个小数据请求都是通过AJAX完成的。现在我想扩展整个事情来支持本地客户端。我读了很多关于无状态身份validation，http基本和摘要auth，http会话，cookie，xsrf等等。现在我觉得我不能有一个安全的应用程序，因为总有办法劫持它的一些部分。 1 .: HTTP会话比。无状态身份validation令牌有什么不同？我不明白。 HTTP会话：客户端请求一个URL（第一个请求到服务器）服务器给出正常的响应加上一些唯一的string（==会话ID）客户端必须发送这个string与每个请求（这是使用HTTP标头自动完成）客户端login – >服务器记住这个特定的会话ID现在login 客户端访问一个页面，需要auth – >没有特别的事情做，因为会话ID将自动通过HTTP头部发送到服务器无状态身份validation令牌：客户端请求URL（对服务器的第一个请求）服务器只是给出正常的响应，没有任何密钥或令牌或ID （这里没什么特别的）客户端login – >服务器创build一个授权令牌，并将该令牌发送给响应中的客户端客户端访问页面，需要身份validation – >客户端必须提交身份validation令牌对我来说这两种方式看起来都很相似使用Rails，我还可以select将会话存储在数据库中… Devise将使用无状态身份validation令牌。 2：authentication方法现在我用{"user":{"email":"e@mail.com","password":"p455w0rd"}}使用POST /users/sign_in 。但是还有其他的可能性，比如HTTP基本authentication和HTTP摘要authentication，还有像oAuth这样的解决scheme（对我来说太大了）。从我读过的内容来看：关于sign_in安全性，当前的POST /users/sign_in和HTTP基本authentication之间没有区别。两者都使用明文。对于sign_out HTTP基本身份validation有一个缺点：退出只能closures浏览器窗口 HTTP摘要authentication有一个巨大的优势：它根本不传输密码（只是密码和随机生成的string散列）（德文）维基百科说：所有浏览器都不支持HTTP摘要authentication。也许这个信息是老路？我需要的：用户名和哈希密码（bcrypt）存储在数据库中。 […]

身份validation与授权: Web应用程序有什么区别？总之，请。我看到很多缩写“auth”。它代表的是身份validation还是身份validation ？或两者？

尝试SSH到Amazon Ec2实例 – 权限错误: 这可能是一个愚蠢简单的问题:) 我在Amazon EC2上创build了一个新的Linux实例，并且下载了.pem文件的一部分，以允许我进入SSH。当我试图与ssh： ssh -i myfile.pem <public dns> 我有： @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0644 for 'amazonec2.pem' are too open. It is recommended that your private key files are NOT accessible by others. This private key will be ignored. bad permissions: ignore key: amazonec2.pem Permission denied (publickey). 在这篇文章之后，我尝试了chmod +600的pem文件，但是现在当我使用ssh的时候，我刚刚得到： […]

ASP.NET MVC – HTTP身份validation提示: 是否有可能使我的应用程序要求提供用户名和密码之前渲染视图？就像在Twitter API获取有关您的帐户的信息： http://twitter.com/account/verify_credentials.xml 所以在渲染视图||之前文件它要求你插入你的用户名和密码，我认为这是直接在服务器上，因为curl请求是基于用户名：密码以及如下所示： curl -u user:password http://twitter.com/account/verify_credentials.xml 正如我试图build立一个API遵循相同的结构，我想知道如何在ASP.NET MVC C＃上做到这一点。我已经在ruby on rails上使用它，它非常简单，如： before_filter :authenticate def authenticate authenticate_or_request_with_http_basic do |username, password| username == "foo" && password == "bar" end 我不认为[Authorize]filter是相同的，因为我相信这只是一个redirect，它会将您redirect到基于帐户数据库的Accounts Internal Controller，在这种情况下，我将使用另一个数据库， web服务，并提交信息后进行validation。但是，我需要采取行动来要求用户，并根据请求传递凭据。提前致谢更新：其实要请求一个页面，需要这个authentication（即Twitter），我将不得不根据其要求宣布这一点 request.Credentials = new NetworkCredential("username", "password"); 这将反映提示的用户名和密码。所以，从另一方面来说，这是完全一样的，如果可以根据请求向authentication提示信息提供信息，那么我怎么会要求这个authentication呢？所以每次有人试图向我的应用程序请求例如： HTTP：//为MyApplication /客户/ verify_credentials 它应该要求一个用户名和密码与该服务器提示，以检索curl的信息，例如它会是这样的 curl -u user:password […]

如何防止浏览器调用基本的身份validationpopup窗口，并使用JQuery处理401错误？: 我需要使用基本身份validation发送授权请求。我已经成功实现了这个使用jQuery。但是，当我得到401错误基本身份validation浏览器popup窗口被打开和jQuery的AJAX错误callback不会被调用。

Rails，deviseauthentication，CSRF问题: 我正在做一个使用Rails的单页应用程序。 login和注销Devise控制器使用ajax调用。我得到的问题是，当我1）login2）注销然后再次login不起作用。我认为这与CSRF令牌有关，当我退出时它会被重置（尽pipe它不应该是错误的），并且由于它是单页，因此旧的CSRF令牌正在xhr请求中发送，从而重置会话。更具体的是这个工作stream程：签到登出 login（成功201.但打印WARNING: Can't verify CSRF token authenticity服务器日志中的WARNING: Can't verify CSRF token authenticity ）随后的ajax请求失败401未经授权刷新网站（此时，页眉中的CSRF更改为其他内容）我可以login，它的工作，直到我试图退出，并在一次。任何线索非常感谢！让我知道如果我可以添加更多的细节。

使用没有访问令牌的Facebook Graph API获取公共页面状态: 我正在尝试使用Facebook Graph API从公共页面获取最新状态，比如http://www.facebook.com/microsoft 根据http://developers.facebook.com/tools/explorer/?method=GET&path=microsoft%2Fstatuses – 我需要一个访问令牌。由于微软网页是“公开”的，这是绝对的情况吗？没有访问令牌，我有没有办法访问这些公共状态？如果是这种情况，为我的网站创build访问令牌的正确方法是怎样的？我有一个应用程序ID，但http://developers.facebook.com/docs/authentication/中的所有示例描述处理用户login。我只是想在Microsoft网页上获得最新的状态更新并将其显示在我的网站上。