Tag: authentication
.NETexception我可以抛出未授权或未validation
我有部分代码,我想抛出一个exception,每当用户未经过身份validation/未经授权。 所以不是写我自己的NotAuthenticatedException和NotAuthorizedException,而是想知道是否还没有一些C#标准。 我可以想象很多程序都会抛出类似的Exceptions,如果每个人都再次写下他们自己的“轮子”,那也不会很有用。
在IIS7中没有可用的基本身份validation选项
我没有在IIS =>身份validation下IISpipe理器中的基本身份validation选项。 我有以下select: Anonymous Authentication ASP.NET Impersonation Forms Authentication 我正在使用Windows 7 professional N,根据这个 ,基本authentication应该可以给我。 有没有人有任何想法?
使用JWT在Asp.net Web API上实现身份validation
我一直在阅读关于智威汤逊。 但是从我所读的内容来看,这不是一种authentication机制,而更像是authentication机制中的一个关键组件。 我目前已经实现了一个可行的解决scheme,但只是试用智威汤逊,看看它是如何工作的。 但是现在我所知道的是如何利用它。 从我的经验来看,它基本上只是一个encryption机制,给你一个独特的encryption密钥。 你也可以把信息放在这个令牌里面。 我想要在ASP.NET web api 2上实现它,以供移动应用程序使用。 所以第一步: 服务器:login(用户,密码) 服务器=>应用程序:login好的,inheritance你的JWT app => server:获取我的configuration文件(向请求发送JWT)服务器然后解密JWT并确定请求标识。 现在,这只是我的理解,看我可能是完全错误的道路上。 智威汤逊的理想,所以你不必每个请求进行身份validation? 我只validation一次用户凭证(在初始login时),然后服务器可以简单地使用JWT,而不必在数据库中查找用户pw和用户。 我只是想使用JWT来识别用户是谁。 然后,我会authentication他们后,然后授权。 据我所知,与新的MVC和身份validation和授权有很大的混淆。 所以我的问题归结为。 我如何安全有效地使用JWT实现身份validation机制? 我不想只是咳嗽起来,似乎工作,并没有任何安全隐含的想法。 我确信有一些资源可能devise了一个适合我的要求的安全机制。 我的要求是: 每次会话一次只能检查数据库的用户凭据一次? 由于使用bcrypt使用了大量的资源来比较密码。 必须能够从他们的请求中识别用户。 (即他们是谁,userId就足够了),最好不要访问数据库 应尽可能降低开销,关于服务器端处理请求的资源。 如果入侵者不得不复制设备先前的请求,那么他不应该能够访问真实的用户数据。 (明显) 谢谢
什么是ASP.NET会员使用的默认哈希algorithm?
什么是ASP.NET会员使用的默认哈希algorithm? 我该如何改变它?
在python中使用salt并散列密码
这段代码应该用一个盐来散列密码。 盐和哈希密码正在保存在数据库中。 密码本身不是。 鉴于手术的敏感性,我想确保一切都是洁净的。 注意:我习惯使用b64encode的url安全版本。 import hashlib import base64 import uuid password = 'test_password' salt = base64.urlsafe_b64encode(uuid.uuid4().bytes) t_sha = hashlib.sha512() t_sha.update(password+salt) hashed_password = base64.urlsafe_b64encode(t_sha.digest())
在nonce电子邮件中激活/注册/密码重置链接的最佳做法是什么?
应用程序发送电子邮件来validation用户帐户或重置密码。 我相信以下是应该的方式,我要求引用和实现。 如果一个应用程序必须发送一封邮件中的链接来validation用户的地址,根据我的观点,链接和应用程序对链接的处理应该具有以下特征: 该链接在请求URI( http://host/path?nonce )中包含一个随机 http://host/path?nonce 。 在跟随链接(GET)之后,用户被呈现一个表格,可选地具有随机数。 用户确认input(POST)。 服务器收到请求并 检查input参数, 执行更改, 并使nonce失效。 这在安全和幂等方法的HTTP RFC上应该是正确的。 问题是,这个过程涉及到一个额外的页面或用户行为(项目3),这被认为是多余的(如果不是无用的)很多人。 我在向同行和客户展示这种方法时遇到了问题,因此我要求从更广泛的技术小组获得有关这方面的意见。 我反对跳过POST步骤的唯一参数是可能从浏览器预加载的链接。 有没有关于这个问题的参考文献可以更好地解释这个想法,甚至说服一个非技术人员(来自期刊,博客等的最佳实践)呢? 是否有参考网站(最好是stream行的,并与许多用户)实施这种方法? 如果没有,是否有文件logging的理由或等同的替代方法 谢谢, Kariem 细节保留 我把主要部分缩短了,但是为了减less我有意忽略的细节的讨论,我将增加一些假设: 电子邮件的内容不是这个讨论的一部分。 用户知道她必须点击链接才能执行操作。 如果用户没有反应,什么都不会发生,这也是已知的。 我们不必指出我们为什么要邮寄用户,也不必说明沟通政策。 我们假设用户期望收到电子邮件。 该随机数具有到期时间戳,并直接与收件人电子邮件地址关联以减less重复。 笔记 通过使用OpenID等,正常的Web应用程序可以免去执行标准的用户帐户pipe理(密码,电子邮件…),但仍有一些客户希望“ 自己的用户 ” 奇怪的是,我还没有find一个令人满意的问题,也没有回答。 到目前为止我发现的是: 唐在HTTP POST与URL查询参数 – 好主意或不? 托马斯的问题 – 什么时候使用POST,什么时候使用GET?
Spring Security自定义身份validation和密码编码
有没有教程或有没有人有关于如何使用Spring-Security做以下指示? 任务: 我需要从我的数据库中获取validation用户名的salt,并使用它来对提供的密码(从login页面)进行encryption,以便将其与存储的encryption密码(也就是对用户进行身份validation)进行比较。 附加信息: 我使用自定义的数据库结构。 UserDetails对象是通过自定义的UserDetailsService创build的,而UserDetailsService则使用自定义的DAOProvider从数据库中获取信息。 我的security.xml文件到目前为止: <authentication-manager> <authentication-provider user-service-ref="userDetailsService"> </authentication-provider> </authentication-manager> 现在我想我会需要 <password-encoder hash="sha" /> 但还有什么? 如何告诉spring安全使用数据库提供的salt来编码密码? 编辑 : 我发现这个SOpost是信息性的,但不够:如果我在我的xml中定义一个盐密码源以供密码编码器使用,如下所示: <password-encoder ref="passwordEncoder"> <salt-source ref="saltSource"/> </password-encoder> 我将不得不写一个自定义SaltSource来使用我的自定义盐。 但是这不是在UserDetails对象内部find的。 所以… 备选案文1: 我可以使用自定义UserDetails的实现,然后可能有salt属性? <beans:bean id="saltSource" class="path.to.MySaltSource" p:userPropertyToUse="salt"/> 和 @Service("userDetailsService") public class UserDetailsServiceImpl implements UserDetailsService { public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException, DataAccessException { // … return buildUserFromAccount(account); […]
如何使用Node.js,Express和Mongoose进行身份validation?
我已经通过使用nodejs + express做了简单的nodejs应用程序。 现在我想让用户authentication。 我想通过使用mongoose来实现会话处理。 你能build议一些例子吗?
Flask用户authentication
我有一个应用程序,将使用烧瓶和mongodb; 我可能会将其托pipe在机架空间上。 我需要了解烧瓶authentication的工作原理。 我没有find关于这个问题的很多信息。 有关于如何推出自己的解决scheme的完整教程? 如果没有,我当然想听听你如何接近它的烧瓶应用程序的一些想法。 大PS: 我只是想过。 我也需要打开一个真正的API。 该API的一部分将用于前端的AJAX。 我如何确保应用程序的这一部分? 任何人都可以解释APIauthentication请求?
在源代码中处理用于身份validation的密码
假设我试图从使用基本authentication/基本证书的RESTful api中取出,那么在我的程序中存储该用户名和密码的最佳方法是什么? 现在它只是坐在那里明文。 UsernamePasswordCredentials creds = new UsernamePasswordCredentials("myName@myserver","myPassword1234"); 有没有办法做到这一点更安全的思想? 谢谢
