在仅从其他应用程序接收数据的Web API中使用哪种类型的身份验证
在Web API中,当API仅从其他应用程序接收数据时,通常使用基于令牌的身份验证方法,如OAuth 2.0或JWT(JSON Web Tokens)。这些方法提供了安全的认证机制,允许第三方应用访问资源,而不需要共享密码。
基础概念
- OAuth 2.0:一个授权框架,允许第三方应用访问用户的部分资源,而不需要获取用户的密码。
- JWT:一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。
优势
- 安全性:令牌可以包含过期时间和其他声明,增加了安全性。
- 无状态性:JWT是无状态的,服务器不需要存储会话信息。
- 可扩展性:OAuth 2.0支持多种授权模式,适应不同的应用场景。
类型
- 授权码模式(OAuth 2.0):适用于有服务器端组件的应用。
- 隐式模式(OAuth 2.0):适用于纯前端应用。
- 资源所有者密码凭据模式(OAuth 2.0):适用于受信任的应用。
- 客户端凭据模式(OAuth 2.0):适用于两个服务之间的认证。
应用场景
- 移动应用:使用OAuth 2.0或JWT来安全地访问用户数据。
- 微服务架构:服务之间使用JWT进行认证。
- 单页应用(SPA):使用隐式模式或OAuth 2.0与JWT结合。
常见问题及解决方案
问题:令牌泄露
原因:令牌在传输过程中被截获或在客户端存储不当。
解决方案:
- 使用HTTPS来加密所有通信。
- 不要在URL中传递令牌。
- 在客户端使用安全的存储机制,如HTTP Only Cookies或Web Storage的加密版本。
问题:令牌过期
原因:JWT或其他类型的令牌都有预设的过期时间。
解决方案:
- 实现令牌刷新机制,定期更新令牌。
- 对于敏感操作,要求用户重新认证。
问题:跨域资源共享(CORS)
原因:浏览器出于安全考虑,限制了跨域请求。
解决方案:
- 在服务器端配置CORS策略,允许来自特定源的请求。
- 使用代理服务器来处理跨域请求。
示例代码(使用JWT)
const jwt = require('jsonwebtoken');
// 生成JWT
const token = jwt.sign({ userId: '123' }, 'secretKey', { expiresIn: '1h' });
// 验证JWT
jwt.verify(token, 'secretKey', (err, decoded) => {
if (err) {
console.log('Token is not valid');
} else {
console.log('Decoded Token:', decoded);
}
});参考链接
相关·内容
1回答
我正在构建一个工作如下的应用程序:
作为唯一的后端,我使用SymfonyFramework2.3.2+ FOSRESTBundle构建了REST (仅JSON)。
这个API最初将有两个客户端:
在Android设备上运行的应用程序;
一个使用AngularJS构建的web应用程序,运行在与API相同的服务器上。
我将注册公司,可以使用我的应用程序,每个公司可以注册自己的用户与他们的角色,这些用户将只访问网页应用程序,通过一个通常的电子邮件/密码形式。
这些公司还可以注册数量有限的Android设备,通过IMEI (移动设备的国际唯一标识码)来识别它们,这些设备将使用IMEI对
浏览 1提问于2013-08-02得票数 0
我正在构建一个Python web API,其中我希望使用Azure AD作为身份验证后端。在某些场景中,客户端需要通过API进行身份验证才能授权到某些端点。客户端本身无法直接向AD进行身份验证,因此它需要使用原始凭据(用户名、密码)通过API进行身份验证。然后,API将对用户进行身份验证,并接收AD令牌并将其提供给用户。
因此,简而言之,我正在寻找一种使用用户名/密码以编程方式验证用户并使用Python接收令牌的方法。
浏览 0提问于2018-04-06得票数 1
我正在使用.NET 5开发一个Web。该API将只接收来自其他应用程序中的服务的数据。没有用户界面连接到API。 我想为我的WEB API实现身份验证,我想知道用于此类型应用程序的身份验证类型?值得一提的是,最终用户永远不会输入与API通信时使用的凭据。 我已经研究了基本身份验证、JWT和OAuth。在这种情况下,哪个是最好的选择?为什么?
浏览 16提问于2021-02-10得票数 0
1回答
如何将spring安全性应用于多租户web应用程序?我的web应用程序必须支持多租户,即 ldap用于身份验证的本地数据库,用于身份验证的宣誓。
如何应用spring安全,以便为所有租户提供支持
浏览 1提问于2014-03-06得票数 1
我正在开发.Net Core3中的web应用程序。我需要管理web应用程序中的身份验证和授权,基于从其他rest API应用程序接收的JWT令牌。有没有可能在不使用/创建web应用数据库的情况下管理基于角色的页面和它们之间的导航?如果我们能够管理web应用程序的令牌过期,该如何管理?
浏览 41提问于2020-04-17得票数 0
回答已采纳
2回答
场景
我们正在为我们的web应用程序构建一个新的RESTful应用程序接口。此API将为我们的移动应用程序、web应用程序和授权客户提供服务。
我们正在使用Apigility来构建应用程序接口,并利用它提供的OAuth2实现。
目前,我们的web应用程序依赖于一个users表,该表为每个用户分配了权限。这些用户只需使用web表单登录,然后存储会话并在访问时检查适当的权限。
我们希望能够对API访问(例如我们的web应用程序和授权客户)进行身份验证,因此不会发生对API的未经授权的访问。但是,我们还希望在用户级别授权权限,因此还必须进行某种类型的用户身份验证。
对API的任何授权访问都可能使用不
浏览 0提问于2016-02-08得票数 4
我有一个我已经成功创建的具有OAuth功能的.NET核心应用程序接口。
我使用grant_type=password、username和password来接收访问令牌,并使用请求Authorization标头调用控制器操作,并在控制器操作上使用带有Policy参数的AuthorizeAttribute。一切都很好。
然而,有几种情况我不确定该如何处理。例如:
有时,我希望我的客户端应用程序(将有多个)允许在用户尚未进行身份验证时访问API,但我不想让它对世界开放。也就是说,对于某些端点,不需要对特定用户进行身份验证,但我希望限制访问。然后,用户可以选择登录,根据他们的授权允许他们访问更多的AP
浏览 0提问于2017-10-04得票数 0
2回答
我在Azure上运行了一个web应用程序。web应用程序通过租户的OpenID连接对用户进行身份验证。。
在Azure Active Directory租户上,我集成了Google,并将其配置为Google和自动用户配置。。
在我的web应用程序中,我想通过Google访问登录用户的Google (例如Google上的文件)的用户内容。
是否可以在安装单点登录联合的帮助下做到这一点,这样用户只需要登录到web应用程序/ Azure AD,对于Web API调用就不需要进一步登录,例如使用Azure AD接收的令牌访问Google吗?
浏览 2提问于2015-10-22得票数 3
回答已采纳
3回答
在我当前的工作项目中,我们试图使用OAuth来保护移动API,但是应用程序没有用户帐户,所以身份验证将从用户那里进行,在那里,应用程序将向服务器发送一些秘密,并接收用于后续web服务调用的令牌。问题是,我可以找到的实现OAuth的所有库和教程都遵循以下模式:
提供允许用户登录的web视图。
接收对自定义URL方案的回调,并解析必要的信息以验证未来的web服务调用
在没有webview步骤的情况下,我如何实现这一点?我应该能够使用正确的凭据直接发出HTTP请求,这将返回必要的身份验证细节。
该应用程序将使用OAuth 2.0
浏览 3提问于2015-02-27得票数 1
我正在使用Laravel开发一个web应用程序,但我必须在未来集成移动应用程序。现在我想给API认证护照加分。我有点困惑,passport API如何处理来自多个用户和权限系统的多身份验证系统。目前,我使用Laravel默认身份验证来处理用户。有没有使用API身份验证passport的Laravel多身份验证的库??
浏览 15提问于2018-07-28得票数 0
回答已采纳
2回答
当前场景:、Web和Web使用AAD B2C进行身份验证,运行良好。每个客户都有一个独特的租户。OpenIdConnectAuthenticationOptions (web )和OAuthBearerAuthenticationOptions (api)设置在应用程序Startup上。
如本文所述:
不幸的是,必须为每个客户部署Web应用程序和API,以保持它们之间的隔离。
需求:为多个客户使用相同的Web和API,而不是为每个客户部署它们。每个客户对于web应用程序都有不同的URL。
问题1 (Web ):如何根据请求URL将(用于身份验证)用户重定向到正确的租户?
即设置Ope
浏览 0提问于2018-01-28得票数 5
回答已采纳
1回答
我正在为一个相当复杂的web应用程序编写一个RESTful API (进一步称为api.mywebapp.com)。
这些要求包括api.mywebapp.com应该处理:
API级身份验证(授权客户端应用程序,例如:移动应用程序)
用户级身份验证(授权www.mywebapp.com注册用户,以便他们能够访问其受保护的资源)
用法示例:
移动应用程序使用有效的基本HTTP授权头连接到 (授权:基本base64_encoded_username:password)
api.mywebapp.com对移动应用进行身份验证,在成功的身份验证后,它使用生成的令牌来响应请求。
浏览 0提问于2013-11-21得票数 1
我在构建Angular4/Angular2应用程序和Azure AD身份验证时遇到问题。
首先,我使用ADAL-Angular4 (),并且angular服务器在本地运行。在Azure上,我有一个带有API的web应用程序,我想保护它。因此,我创建了一个活动目录应用程序,并将其与web应用程序()链接起来。
第一个身份验证运行良好(以访问web应用程序)。但是,当涉及到调用API (仅限于经过身份验证的用户)时,我每次都会得到以下响应
401 error : Unauthorized
似乎我不能访问资源,因为我没有授权的访问权限。但我的帐户是所有应用程序的管理员,我拥有Azure上的所有访问权
浏览 9提问于2017-07-20得票数 0
2回答
因此,我正在为一家银行制作一个应用程序,但它并不管理非常重要的数据。我有两个问题,它将运行在一个由各种安全措施(防病毒和防火墙)保护的非常大的LAN网络上,并且在某些地区的带宽低至56kbps。(它是一个桌面应用程序,通过web服务连接web服务器后端)
从安全的角度来看,我想要的是防止有人从其他来源执行web服务或应用程序导致数据库中的更改。我在想每个安装了安装代码的桌面应用程序,这将被散列并作为每个函数调用的参数,并将作为身份验证票证?这足够好了吗?它们是更好更简单的方法吗?
对于性能,我如何衡量或知道web服务是否会以适当的速率发送和接收数据?
谢谢
吉迪恩
浏览 0提问于2010-07-08得票数 1
回答已采纳
我已经为部署在weblogic上的web应用程序实现了OAM SSO身份验证。现在我想使用weblogic embedded LDAP来提供应用程序级别的授权。我不想使用weblogic身份验证,只想使用授权,因为OAM已经处理了身份验证。这有可能吗?有人能给我一些例子、教程或想法来实现这一点吗?
浏览 1提问于2013-04-25得票数 0
3回答
对于下一个技术解决方案,我怀疑正确的模式应该是什么。我需要通过读取QR代码对移动应用程序中的用户进行身份验证,该用户以前是在web应用程序中进行身份验证的。
用例包括用户使用位于intranet中的web应用程序,但需要能够从将连接到internet的移动设备上传图像。移动应用程序将使用通过API网关在互联网上公开的公共API。API网关将连接到后端以上传图像。作为一项要求,当用户需要使用移动设备捕获和上传图像时,他们不应该再次进行身份验证,因为他们在web应用程序中有一个开放的会话,并且只需使用QR代码来验证设备。逻辑上,QR将不使用用户的凭据。
我的想法是利用OAuth2.0和以下流程对移
浏览 0提问于2018-12-28得票数 8
4回答
我在上托管了一个.Net 5 Web。
该API有三个后台服务作为托管服务运行,这些服务执行长时间运行的进程,如批量电子邮件和SMSing,以及其他每天在计时器上运行一次的功能。
我正在考虑将这些托管/后台服务转移到单独的Azure函数中,然后通过HTTP请求从API中调用/触发这些函数(除了在计时器上运行的函数)
我关心的是认证。如何处理Azure函数?目前,我的Web正在使用Auth0作为身份验证服务器。因此,当用户使用前端web应用程序(Angular)时,他登录(通过AUth0的登录表单),然后前端从AUth0检索访问/承载令牌,然后在对API的每次调用(在身份验证头中)中包含该令牌。
浏览 3提问于2021-02-04得票数 1
回答已采纳
我正在开发一个ASP.NET核心web项目,其唯一的客户将是一个移动应用程序开发的Xamarin。应用程序将没有web前端。
如果用户只能从移动应用程序登录和使用api,那么CSRF攻击能否执行?
编辑
api通过调用配置有允许匿名访问的端点来通过用户名和密码执行身份验证。如果身份验证过程成功,则返回用于授权未来调用的JWT。
浏览 0提问于2020-05-15得票数 3
回答已采纳
2回答
我正在开发一组REST,这些API需要被保护,以便只执行经过身份验证的调用。将有多个web应用程序来服务这些API。对于应该在何处进行身份验证,是否有最佳实践方法?
我想到了两个可能的地方。
让每个web应用程序使用共享身份验证服务来执行身份验证。这似乎与Security等工具是一致的,Security是在web应用程序级别上配置的。
用一个“网关”来保护每个网络应用程序的安全性。在这种方法中,web应用程序从不接收未经身份验证的调用。这似乎是Apache身份验证的方法。使用这种方法,您会使用Apache或nginx来保护它,或者在Apache/nginx和您的web应用程序之间使用其他什么东
浏览 0提问于2013-07-15得票数 5
2回答
我正在为一个移动应用程序(Cordova)开发一个web服务(PHP),这个web服务提供了一些REST。
当前场景:API本身没有身份验证,任何有端点的人都可以发出请求,但是在应用层,所有操作都需要经过身份验证的用户(用户登录并接收JWT),这已经实现了。
发布:我想保护REST,仅供授权客户端使用(API密钥?)
我应该实现这样的东西:公钥和秘密(hmac)吗?
我走错路了,我应该使用像oauth这样的东西(*它是一个私有API *)。
浏览 0提问于2018-02-17得票数 0
回答已采纳
我们正在构建一个具有以下属性的应用程序:
包括未来的web应用程序、web API和移动应用程序。
web应用程序将包含HTML页面(多个功能,类似于单个页面的应用程序)
web应用程序将与web对话(使用JQuery AJAX调用使用JSON进行通信)
web应用程序+ web API不遵循标准的MVC体系结构。
需要支持SSO (将使用客户端标识提供程序)和表单身份验证
移动设备将使用相同的web API。
我的问题是,我们应该遵循什么样的方法来保护应用程序。我们正在考虑的两种方法是:
仅保护web : web应用程序纯粹是HTML,所有数据(需要安全性
浏览 2提问于2014-04-29得票数 0
以下是我的情况:
有一个API服务,它将每季度发布一次新版本。
我为每个版本创建一个web应用程序。因此,默认网站下有一个web应用程序列表,如下所示:
API_2016S1
API_2016S2
API_2016S3
..。
对于客户端,API的url应该是相同的,即使它的版本已经更改了。版本信息不会是API url的一部分。
客户端和API版本之间的关系存储在数据库中。
因此,客户请求的流程可能如下所示:
客户端
发送请求(在标头和会话的cookie中使用客户端id )
这样做的门户应用程序:
身份验证
确定哪个API应用程序应该是
将客户端的
浏览 2提问于2016-12-14得票数 1
1回答
我需要实现一个基于SAML的认证模块,我正在寻找与SAML相关的一些基本问题的答案。我试着寻找答案,但找不到详细的信息。
要保护的资源是一个基于SaaS的web应用程序。设计我已经收到require4s,使用OpenAM、Ping等构建了一个认证模块。任何对web应用程序的访问都将通过SAML认证系统进行认证。
在这方面,我有以下问题:
如果我正确理解,SAML请求包含一个用户名。当某人第一次访问web应用程序时,应用程序没有关于用户的信息,那么它将如何生成SAML请求?
一旦应用程序接收到SAML响应,用户对web应用程序的后续访问是否也需要通过身份验证系统进行路由和验证?
We
浏览 5提问于2015-01-15得票数 0
1回答
API repro
I在azure门户中创建了一个简单的azure函数应用程序,并使用http绑定功能。函数只返回字符串“”。下一步在平台特性中我选择了身份验证/授权。我打开了应用程序服务认证。我选择了在请求未经过身份验证时要采取的操作:使用AAD登录。选择AAD作为我的提供程序,并以快捷模式(默认目录)配置,并为新的Active Directory应用程序选择{name}。I还添加到CORS的策略地址:,其中的Vue.js客户端应用程序是,这些操作是我在AAD中注册的应用程序,已经定义了user_impersonation范围。App已经配置了重定向URI:,选中Id令牌用于在Web平台上进
浏览 11提问于2020-04-07得票数 1
回答已采纳
1回答
我想使用JWTCore3.1Web应用程序来允许应用程序(例如iPhone或web Javascript)使用用户名和密码进行身份验证,并接收包含用户声明的Jason Web Token (JWT) ...如果成功,则可以将JWT作为持有者令牌发送到API,API将对JWT进行解码和验证(令牌将是非对称的,并使用公钥/私钥对),并检索嵌入的任何声明...如果应用程序也能解码JWT以检索任何索赔,可能会是一个额外的奖励。 你对这种方法是否可行有什么想法?而且,如果有任何关于如何做到这一点的讨论或例子,那就太好了。 ?
浏览 36提问于2020-07-12得票数 1
回答已采纳
1回答
我正在用Flask编写一个工具,它有一个直接的API接口,也有一个Web接口,它使用的是底层的API。因此,例如,要使用该工具创建一个新组,可以使用以下两种方法之一:
API方法
将一个JSON对象发布到,其中包含创建组的所有参数。(身份验证通过HTTP基本授权传递。烧瓶-登录验证来自本地用户DB的用户)
假设用户获得授权,API将创建组,将“所有者”设置为登录用户,并返回包含成功/失败信息的JSON。
Web方法转到
登录(同样,Flask从本地用户DB对用户进行身份验证)
填好表格
单击Submit
JSON应用程序调用应用程序,解析它得到的JSON,并向用
浏览 6提问于2016-07-08得票数 2
我正在前端使用AngularJS构建一个在线应用程序,托管在MVC 5/Web应用程序中(基本上是一个单页应用程序)。然而,我有一个严格的限制:应用程序的数据将被保存在一个专用网络中。我必须在暴露Web应用程序功能的专用网络中构建第二个web应用程序。此外,用户身份验证需要在专用网络API中进行(因此私有网络API将充当身份验证提供者),因为这是用户表存在的地方。
DMZ中的应用程序基本上将充当专用网络中web的代理。因此,UI中在ApiController中接收到的每个请求都将调用专用网络API,理想情况下,在初始请求中接收到令牌时传递令牌。
从身份验证的角度来看,这是我需要的:
用户导
浏览 4提问于2015-02-07得票数 0
2回答
我需要管理内容(网页,键/价值列表,资产和更多)在一个基于网络的系统多个网站和移动应用程序。
我的想法是创建一个web,它使用应用程序和站点的令牌以及某种OAuth身份验证来保护,也使用JSON令牌。我想用ASP.net Web、实体框架和标识来创建它。
我的想法是将cms分成一个单独的页面应用程序,可能是在AngularJS和Web中。因此,首先创建域模型,我们需要如何构造所有内容/数据并存储这些内容/数据。然后创建api。完成后,我需要为最终用户创建一个SPA应用程序。
每个网站或应用程序都可以使用api在https上读取和写入数据,并使用一个秘密令牌,每个其他各方都可以自由选择他们想要使
浏览 0提问于2015-02-28得票数 0
我有以下几点:
使用SAML进行身份验证的现有WEB应用程序。使用B2C自定义策略,我成功地设置了Azure B2C,以允许该应用程序使用SAML对用户进行身份验证。
一个API (ASP.NET Web ),它使用OpenID连接对调用者进行身份验证(在相同的Azure B2C上)。
我想使用通过身份验证的Web应用程序的身份来验证从WebAPI到WebAPI的调用。因此,我需要一个JWT令牌,以便在API中间件中验证它。是否有任何简单的方法将SAML断言转换为JWT令牌,以便Web应用程序可以通过请求将其发送到API?我在某个地方读到过IdentityServer可以使用A
浏览 2提问于2018-08-27得票数 0
我创建了一个带有swagger接口的web应用程序API,并将其部署为Azure。
在创建Logic时,我可以找到我的API应用程序,但是每当我尝试使用它时,我都会得到以下错误:
找不到自吹自擂。确保在端点上启用了CORS,并且正在调用HTTPS端点。
对于API应用程序中的API定义,我使用默认的https url:
我的C# web应用程序已经通过Swashbuckle提供了swagger文档。
对于CORS,我设置了一个*项。
这似乎不足以让逻辑应用程序访问API应用程序I,然后为API应用程序配置身份验证/授权以使用Azure Active Directory (expres
浏览 3提问于2016-06-15得票数 0
回答已采纳
2回答
我正在学习如何构建一个简单的web应用程序,并使用Auth0.com对应用程序的用户进行身份验证。创建注册表单的说明()对我来说非常简单,直到我到达底部的服务器端部分为止。
上面写着:
服务器端
在接收到来自客户端的请求后,消息正文中包含的JSON必须使用connection字段丰富,该字段指示必须在哪个连接中存储用户。将该JSON发布到/api/ user,并在成功的情况下创建用户。
POST /api/users授权:承载.access_token ...{电子邮件:“.”,//从请求密码中提取:“.”,颜色:“.”,食物:“.”,连接:“.”//服务器添加的
这意味着
浏览 2提问于2015-01-30得票数 2
1回答
我确实在我的Web上应用了授权属性。我正在从MVC4应用程序调用Web,其中我使用了基于标准cookie的身份验证。我需要从集成测试中调用控制器上的Web方法,但是由于应用了授权属性,所以我将始终接收未经授权的异常。
解决这个问题的最好办法是什么?PS。我不希望(需要)使用其他身份验证方法,如APIKey、Auth头中的令牌以及类似的.
浏览 5提问于2012-11-29得票数 4
回答已采纳
我想在App Source上提供多个解决方案,每个解决方案都将进行身份验证。
我正在考虑有一个集中的地方,所有的身份验证都在这里处理。此集中位置将是一个Web API,它使用Open Id Connect进行配置,并调用AAD端点以允许用户登录并接收回令牌(id和访问令牌)。这些令牌都将在此Web API中处理(即存储/过期/刷新)。
每个应用程序都将利用此API,并且在每次请求时都将调用该API,API将验证当前存储在本地的令牌,并根据需要刷新/过期令牌。
这是一个可行/可行的解决方案吗?是否应该保留特定于应用程序的身份验证?
浏览 16提问于2019-07-09得票数 0
我对在哪里(如果不是两者都在哪层)我要在我的应用中使用Azure AD实现身份验证感到困惑。 因此,我有一个Vue JS前端,并且我已经了解了如何利用ADAL JS来帮助从客户端进行身份验证。 但是,我还需要对web API的调用进行保护,而这显然不是使用ADAL JS实现的。 问题 如何将对我的web api的调用仅限于使用Azure AD进行身份验证的用户(他们将需要通过vue js应用程序登录)?然后,类似地,允许web api通过Azure AD进行身份验证,以便从blob存储中检索内容? 进一步的上下文(如果需要) 一个示例流程是用户登录(在vue js应用程序中),将一个文件发布
浏览 16提问于2019-10-18得票数 4
回答已采纳
我们已经创建了一个.net MVC 4.6.1 web应用程序,它使用Azure活动目录的身份验证。当我们运行应用程序时,它会重定向到Microsoft登录页面,在成功登录之后,它将进入到webapp。我的问题是,我们是否可以使用Azure活动目录进行身份验证,方法是使用API调用,我们将创建简单的登录页面,在后端,我将使用用户名和密码调用api。根据结果,我可以判断用户是否有效?
浏览 1提问于2017-06-09得票数 2
回答已采纳
6回答
在调用web服务时,我得到以下错误:
HTTP请求是未经授权的客户端身份验证方案'NTLM‘。从服务器接收到的身份验证标头是“NTLM”。HTTP请求是未经授权的客户端身份验证方案'NTLM‘。从服务器接收到的身份验证标头是“NTLM”。
我有一个Silverlight 4应用程序,它在我的IIS (7)上调用一个WCF web服务。我的WCF web服务使用NTLM (Windows身份验证)调用另一个安装在不同web服务器上的ASMX web服务。服务器、我的服务器和承载ASMX web服务的服务器都在同一个域中。
当Silverlight客户端使用http://l
浏览 0提问于2011-02-07得票数 17
回答已采纳
我将画一个场景,并需要一些建议:
我正在使用Azure (v1.0端点)、一个单页应用程序(SPA)和一个web。SPA使用OpenID连接建立用户身份,对用户进行身份验证,并接收后端web的id_token和access_token。
现在,我们不希望SPA根据在SPA应用程序中接收到的id_token进行访问控制决策。
相反,SPA将access_token发送到后端web API以访问它,而现在我们希望后端web API根据在id_token中找到的roles声明做出访问控制决策,但是后端没有从SPA接收。
问题是,后端web是否有可能将接收到的access_token发送到Azure
浏览 0提问于2018-03-09得票数 0
回答已采纳
应用程序实现详细信息- Implementation应用程序的结构如下:
MVC Web应用程序托管在Azure Web应用程序上。
与web应用程序集成的客户端使用了角JS。
服务托管在Azure Service Fabric群集上。
使用Azure AD正在进行身份验证。
服务结构API从角js文件中命中,如下所示-
经Azure AD认证后,接收承载接入令牌。
此令牌作为授权头添加到来自js的AJAX请求中。
从API中的标头中检索令牌并进行验证。
由于上述实现,可以在浏览器中从开发人员工具检索承载访问令牌。使用此令牌,可以从Postman等工
浏览 1提问于2019-02-21得票数 0
1回答
现在,我有一个原生azure应用程序,我的iOS应用程序使用ADAL进行身份验证,没有任何问题。我在azure中添加了一个Web API,它由Azure API管理资源管理。我使用的是一个使用Azure AD进行身份验证的oAuth服务器(所有这些都是在Azure API Management中创建的)。
我遇到的问题是我从我的iOS应用程序接收的oAuth令牌不被我的Web API接受。它们都使用oAuth连接到同一个Azure Active Directory。我尝试在我的iOS应用程序中更改,使用Web API应用程序客户端ID而不是原生应用程序客户端ID。然后在身份验证期间出现问题,它
浏览 1提问于2016-03-29得票数 2
Web Api .net框架
我有一个使用IdentityServer4 .net核心1.1完成的身份验证服务。客户端设置如下:
new Client
{
ClientId = "client",
AllowedGrantTypes = GrantTypes.ClientCredentials,
ClientSecrets =
{
new Secret("secret".Sha256())
},
AllowedScopes = { "api1" }
},
// resource
浏览 37提问于2018-03-01得票数 3
1回答
我有以下设置:
存储用户并处理身份验证的CouchDB数据库;每个用户创建一个db
使用PouchDB通过进行同步和身份验证的网络应用程序
一个REST服务器,它接收来自web应用程序的请求并访问CouchDB。
现在,REST可以对CouchDB进行管理访问,所以当它接收请求时,它需要进行某种形式的身份验证,以确保发送方对他声称有权访问的数据库拥有权限。由于我使用持久会话,web应用程序并不总是知道用户密码(除非我将其存储在本地存储--显然是个坏主意)。会话cookie是HttpOnly,所以我无法访问它。
在这种情况下,对API的请求进行身份验证的最佳方法是什么?
浏览 1提问于2016-04-08得票数 1
回答已采纳
我有一个基于Java SE 6的JAX-WS web服务。有一个web服务方法,它通过HTTP登录到应用服务器并读取信息。
如果客户端使用正确的用户名和密码调用web服务方法,它将在应用服务器上进行身份验证,然后从应用服务器获得响应。
然后,如果第二个客户端使用错误的用户名/密码调用web服务方法,它将通过身份验证并接收机密信息-这是错误的行为。
只有在这两个客户端调用之间重启web服务服务器时,如果用户名/密码错误,第二个调用才会被拒绝。
似乎一旦创建了认证连接,web服务服务器就会将认证保留到应用程序服务器,然后不再需要对后续调用进行认证。
我的问题是,如何使web服务方法的2次调用完全隔
浏览 1提问于2012-10-23得票数 0
我有一个使用ASP.NET身份验证的Windows web应用程序。此应用程序需要连接到另一个ASP.NET web服务(也使用Windows身份验证),并使用它从用户浏览器接收到的相同凭据。这可以做到吗?如何做到?
浏览 3提问于2009-10-21得票数 11
回答已采纳
我有一个Web,它目前由ASP.NET MVC web应用程序中的AngularJS应用程序使用。MVC应用程序使用ASP.NET窗体身份验证作为身份验证机制。当客户端不是Web客户端而是独立的服务时,我应该如何验证web API的用户。我现在所做的是向Web API添加一个login方法,它允许任何具有正确凭据的人访问:
[Route("api/v2/login"), HttpPost]
[AllowAnonymous]
public IHttpActionResult Post([FromBody]Credentials credentials)
{
var pri
浏览 7提问于2015-06-29得票数 6
1回答
我有API。其中一些仅限于通过OAuth从第三方应用程序访问。
我也有一个网络应用程序。用户可以登录并查看他们的私人信息。
API也是从web应用程序中调用的。我的问题是,使用安全措施访问API的好方法是什么。
1. Third party applications -> OAuth
2. My own web application -> ???
我的web应用程序使用会话id进行身份验证。我想用HTTP头传输会话id可能是个好方法,但我没有信心。
为了前妻..。
$ curl -X PUT \
-H "X-Sample-Application-Id: &
浏览 2提问于2015-10-13得票数 9
回答已采纳
我正在使用web 2和MVC 5开发一个Web应用程序。
我的应用程序有api : api/ account /login,它用于检查已发布的信息,并在授予访问应用程序帐户时抛出状态200。
另外,我有一个视图: /Home/Index,它只对经过身份验证的客户端可用。
现在,我的方法是:
调用api/account/login,接收从该api抛出的cookie。
将抛回的cookie附加到浏览器。
当用户访问/家庭/索引时,他/她可以使用视图。
我的问题是:
-我的方法可能吗?
-如何像MVC 5对其cookie那样在Web 2中加密我的cookie ?
谢谢,
浏览 8提问于2016-07-17得票数 4
回答已采纳
我们有使用Azure AD进行身份验证的单页面应用程序(Angular前端和.NET Core Web API)。前端和和Web API都在同一个租户中注册,并且WebUI有权调用Web API。此Web API还使用了其他一些内部Web API。
我们在应用程序中有一个新的要求,允许需要首先注册的外部用户访问应用程序的某些区域。因此,现在应用程序需要对现有AD用户和外部用户进行身份验证。
我的问题是,这是否可以在单个应用程序中实现?如果是,那么对企业用户和外部用户进行身份验证的推荐方法是什么?
浏览 3提问于2020-05-15得票数 0
我在Firebase身份验证方面遇到了一个持续存在的问题。
TL;DR这个firebase CLI工具在每次运行要显示一个键的命令时似乎都会生成一个新的API,从而使以前的任何键无效,即使它们正在使用。
似乎有多种方法可以生成用于firebase的API密钥:
最明显的是在他们的网站上,在Project下面,它显示一个Web API Key
另一个是通过firebase-tools CLI命令firebase setup:web。
第三个也是通过firebase-tools使用的,它提供了一个用于CI部署的令牌。
问题是,如果/当您运行firebase setup:web或
浏览 0提问于2018-11-28得票数 0
如今,new服务被大量使用,一种“新”类型的产品正在大行其道: API网关。该解决方案被发布到Internet上,接收来自外部各方和移动应用程序对the服务的请求,做一些安全性(身份验证、授权、一些产品进行输入验证、XML和JSON安全性等)。然后将请求传递给内部webservice。
在API网关中应该执行哪些安全控制,在web服务中应该执行哪些安全控制?
例如,
应在何处对投入进行验证?
认证?
授权?业务逻辑安全?
此外,今天有人问我,我们是否应该在DMZ和内部总线中设置web应用程序之间的API网关……我回答说,在这个场景中,所有需要的安全性都应该由web应用程序来执行,所以API不是
浏览 0提问于2016-09-03得票数 3
1回答
我需要关于如何最好地为大型企业应用程序实现API的建议--在根应用程序中运行几个子web应用程序。例如根、Child1和Child2
对于在IIS中托管的每个应用程序,都有单独的MVP项目。MVC应用程序只有前端逻辑,业务和数据访问层托管在另一个WCF项目中(每个子项目都有一个单独的WCF项目)。前端MVC应用程序只将请求路由到目标WCF应用程序。
现在,我计划为每个应用程序设计API。我无法决定是应该创建一个单独的应用程序来保存所有子应用程序和根应用程序的API,还是应该在每个应用程序中添加API。与前端MVC项目一样,API也将重定向到集中式WCF应用程序。
有一个适用于所有API的通用逻
浏览 0提问于2016-09-01得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
