在服务器上存储我自己的访问令牌/机密的正确方式
在服务器上存储访问令牌/机密的正确方式是通过使用安全的存储和加密技术来保护敏感数据。以下是一些推荐的做法:
- 使用加密算法:将访问令牌/机密进行加密,确保只有授权的用户能够解密和使用该数据。常见的加密算法包括对称加密算法(如AES)和非对称加密算法(如RSA)。
- 使用安全存储:将访问令牌/机密存储在安全的存储介质中,如加密的数据库、密钥管理系统(KMS)或硬件安全模块(HSM)。这些存储介质提供了额外的保护层,防止未经授权的访问和数据泄露。
- 使用访问控制:限制对存储访问令牌/机密的权限,只授权给需要访问的用户或服务。使用访问控制列表(ACL)或身份验证和授权机制(如OAuth)来确保只有授权的用户能够获取访问令牌/机密。
- 定期轮换令牌/机密:定期更换访问令牌/机密,以减少被攻击者利用的窗口期。定期轮换可以通过自动化脚本或定时任务来实现。
- 监控和审计:实施监控和审计机制,及时检测和响应任何异常活动或未经授权的访问。使用日志记录和安全信息与事件管理(SIEM)系统来收集和分析日志数据,以便及时发现潜在的安全问题。
- 教育和培训:加强员工的安全意识和培训,确保他们了解正确的数据存储和访问实践。通过定期的安全培训和测试来提高员工对安全风险的认识和应对能力。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云密钥管理系统(KMS):提供安全的密钥管理和加密服务,保护访问令牌/机密的存储和使用。详细信息请参考:https://cloud.tencent.com/product/kms
- 腾讯云数据库加密:为数据库提供透明的数据加密功能,保护存储在数据库中的访问令牌/机密。详细信息请参考:https://cloud.tencent.com/product/dde
- 腾讯云安全审计:提供全面的安全审计和日志管理服务,帮助监控和审计访问令牌/机密的使用情况。详细信息请参考:https://cloud.tencent.com/product/cas
相关·内容
1回答
我们有一个生成令牌的身份验证服务器。我们理解,使用令牌时,当您发出HTTP请求时,您必须在HTTP报头中传递Authentication : xxxxx。
现在我的问题是,用户可以创建一个带有令牌的附件并向发件人发送一封电子邮件,然后发件人从附件中提取令牌并在身份验证服务器上验证它吗?
谢谢你的时间和帮助,
浏览 4提问于2015-01-21得票数 0
回答已采纳
我在阅读和阅读,不知道为什么要正确理解OAuth2流是如此困难,我以为我理解它,直到我想要我自己的服务器。
所以我有前端(web +移动应用,也就是资源所有者),我自己的API服务器(资源服务器),我想创建自己的OAuth2服务器。
因此,假设在用户注册时,我将它们注册在我的OAuth2服务器上,保存用户名和散列密码(我还想保存组织/项目名称,这样我就可以为多个项目使用oauth2服务器而不用担心用户名重复)
然后,前端直接使用access+refresh从OAuth2服务器获得password_grant令牌。或者我应该通过我的API来使用CLIENT_ID/CLIENT_S
浏览 1提问于2022-01-06得票数 1
免责声明:我是移动应用程序开发的新手,对认证系统知之甚少。
通常,当我的移动应用程序对我的后端服务器进行https调用时,我知道我不能相信这些对服务器的调用来自我的应用程序,因为任何人都可以向我的后端服务器发出https请求。即使我给应用程序一个秘密密钥,黑客仍然有可能获取密钥并将其包含在https请求中。因此,我不允许https请求在服务器上完成它想要的任何事情;相反,我将把请求限制在用户通常能够对自己的数据做什么--删除他们自己的文章,编辑他们自己的配置文件,等等。
Firebase是否以同样的方式工作?我看到了关于OAuth消费者的秘密,以及它们如何被泄露并被用来模仿移动应用程序。
Fi
浏览 11提问于2022-10-08得票数 0
1回答
我试着用dotnetopenoauth获得象征性的秘密。我在里面搜了找
SimpleConsumerTokenManager
类的
GetTokenSecret()
这在我看来很好,但由于它依赖于"AuthenticationOnlyCookieOAuthTokenManager“,所以它不能成为它的一个对象。
如果您知道如何初始化这个类,或者这是获取秘密令牌来生成我的twitter签名字符串的正确方法,请您指导我吗?
谢谢
浏览 4提问于2012-11-22得票数 0
回答已采纳
我正在构建一个基于facebook的移动应用程序。每次用户登录我的服务器时,我都想知道他的哪些朋友接受了我在facebook上的申请。我现在所做的是将用户的朋友列表发送给我的服务器,并向他返回一个列表,该列表中的朋友也是我的应用程序的成员。问题是,当用户有很多朋友时,这个过程非常慢。
有没有办法抛出图形api或FQL来检查用户(或他的朋友)授予了哪些应用程序权限?
浏览 2提问于2012-05-25得票数 0
回答已采纳
我有我的ASP.NET核心(.NET5)项目和API控制器。我想用Identity Server来保护我的API。我的目标是让一些客户访问基于client_id和client_secret的API,并在此基础上定义他们可以调用什么API。因此,我在Startup.cs中添加了以下代码
public void ConfigureServices(IServiceCollection services)
{
// ...
services.AddAuthentication(
IdentityServerAuthenticationDefaults.Authenti
浏览 4提问于2021-10-01得票数 0
1回答
AWS认知授权
、、
我有一个需要身份验证和授权的应用程序(node.js)。我的应用程序需要访问postgres数据库,也需要继承(角色等)。
实现该功能的一个选项是使用aws的认知服务(应用程序将正确地在aws上承载-不确定)
,所以问题是
是认知服务支持node.js授权的数据库,而不是aws上的服务?(我读到“身份池”是用于像mariaDB这样的aws服务的)如果我的应用程序将在heroku上(而不是在aws上),我也将能够与认知服务(对于支持角色/用户继承的角色/用户继承? )一起使用
Tnx
浏览 4提问于2021-10-05得票数 0
对于凭据(服务器和db作用域)的SQL Server机密和密码有什么区别?例如,在阅读BOL时,我可以看到指定了一个秘密。这是同一个密码吗?
https://learn.microsoft.com/en-us/sql/t-sql/statements/create-credential-transact-sql?view=sql-server-2017
浏览 0提问于2019-08-13得票数 3
回答已采纳
3回答
因此,我一直在考虑使用Microsofts (使用本地OAuth )为Cordova移动应用程序设置OAuth 2.0,并使用Azure为定制API设置API。这一切都很好,但我有点困惑于秘密的使用(或者更具体地说,它的缺失)。
在web上的许多文章中,它们都指出,当使用授权代码授予和请求令牌时,您将包含该秘密。而且,当您可以安全地将秘密存储在服务器上时,这种授予类型是非常理想的。
然而,插件并不要求在应用程序中指定一个秘密(这是正确的),但它仍然使用授权代码授权来进行身份验证。另外,我还可以手动调用
https://login.windows.net/common/oauth2/author
浏览 4提问于2016-09-02得票数 9
回答已采纳
我正在阅读OAuth2规范:
特别是关于client_credentials授予类型的部分。
如果访问令牌请求是有效和授权的,则
授权服务器发出一个访问令牌,如5.1节所述。
不应包含刷新令牌。如果请求失败了客户端身份验证或无效,授权服务器将返回一个错误响应,如第5.2节所述。
一个成功的回应例子:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2Yo
浏览 5提问于2015-03-24得票数 22
回答已采纳
2回答
这里有一个例子:我有身份服务器、客户端应用程序和资源(API)。Identity服务器提供端点上的用户信息。如果发送具有有效访问令牌的请求,您将获得有关用户的其他信息。,如果我需要资源上的信息,我将如何获得它。我有两个想法:
获取客户端的用户信息。(客户端在userinfo端点上发送请求并获取信息,然后通过请求调用API发送请求。)
Resource使用访问令牌在userinfo端点本身上创建一个请求。这里的问题是,如果我想从令牌存储中获得令牌值,它就不受支持(Java ),因此基本上我在resurce服务器上没有访问令牌。
我理解userinfo端点基本上是资源,所以我的问题
浏览 2提问于2018-05-08得票数 1
回答已采纳
2回答
刷新令牌和JWT令牌交互
、、、、
我正在构建一个使用JWT进行身份验证的应用程序。我开始做一些研究,对于诸如刷新令牌和令牌存储等主题缺乏共识感到惊讶。
据我所见,JWT和OAuth是两种不同的协议,它们遵循不同的规范。
OAuth使用刷新令牌来获得一个新的访问令牌,但为了做到这一点,流程中涉及到4个实体:用户(前端)、资源服务器(Facebook、Google等)、客户端服务器(例如PHP应用程序)和授权服务器。
在这种情况下,有一个刷新令牌是有意义的,因为为了刷新令牌,需要一个客户端id和一个客户端秘密(由Resource/Auth Server发出),它只由客户机服务器而不是用户(用户前端)知道。因此,对于窃取刷新令牌的攻
浏览 0提问于2018-04-19得票数 2
回答已采纳
我一直在阅读google上的文章,但没有一篇文章向我解释这个问题。在digitalocean的文章中有一张图片,我想用来解释一下:
所以我不理解第5步和第6步。当auth服务器返回访问令牌时,它用于从资源服务器检索数据。但是资源服务器如何知道访问令牌是否真正有效呢?是否询问授权服务器token是否有效?
例如,如果我提出一些随机访问令牌,并使用该令牌向资源服务器发送请求,会发生什么情况?它如何知道令牌无效?
浏览 1提问于2018-10-24得票数 1
3回答
我已经查阅了一些关于OAuth2机密和非机密授权流程的文件,即这和RFC。
据我所知,非机密流不需要client_secret,或者更好的是,您实际上不应该使用client_secret,因为您假设任何人都可以与client_id一起使用它,这样就更容易成为客户端应用程序。
因此,为了实现非机密流,客户端必须首先使用服务器发出的client_id和客户端生成的状态。然后,客户端应该使用服务器返回的代码和相同的状态值。还必须向服务器注册redirect_uri。
AFAIK (据我所知)这就是机密流和非机密流的区别:机密流需要client_secret,而非机密流不需要。而且,这就是定义非机密流
浏览 0提问于2018-01-17得票数 7
1回答
安卓手机上的OAuth安全问题?
、、、、
我正在编写一个客户端应用程序,它将在安卓手机上运行,它将代表用户与OAuth服务器交互。我在我的web服务器上运行了OAuth服务器端代码,以便在与远程OAuth服务器握手时维护OAuth会话细节。现在,我在争论如何最好地处理智能手机上客户端的考虑。
对于这个问题,让我们假设,在远程OAuth服务器登录用户并授予我的应用程序访问权限之后,过去我收到了一个授予我的访问令牌。我们还假设它是一个“好的,直到撤销的”访问令牌。
当然,主要关注的是实现一些不会给用户带来风险的东西。最简单的方法是让我的web服务器以加密的形式将访问令牌返回给智能电话上的客户端代码,并将该加密令牌存储在用户的本地存储中。或
浏览 2提问于2011-04-19得票数 1
1回答
好的,我花了几天时间寻找一个正确的解决方案,在使用SPA时如何正确验证用户的身份。
我有自己的网站。
我有自己的API。
我有自己的单页应用程序。
我有自己的用户数据库。
的目标:我需要通过提供用户名和密码来获得access_token。
我查看了OAuth2隐式格兰特,但是它要求用户在成功的身份验证之后批准/拒绝应用程序。这在我的情况下是行不通的,因为我拥有这个应用程序和API。
我查看了OAuth2密码授予,这并不完美,因为我需要公开client_id/client_secret。
我之所以看OAuth2,是因为这个API最终将是公开的。
是否有一种标准的方法来做到
浏览 0提问于2017-01-06得票数 9
我正在构建自己的身份验证微服务,虽然我已经准备好了主要的设置(生成访问令牌等等),但在刷新令牌时,我有点迷失了。
我觉得有很多不同的方法来处理这件事。
您可以将它们存储在Redis或数据库中。
您可以使用白名单或黑名单。
现在,我的想法是添加另一个数据库表,该表将有效的刷新令牌链接到用户实体。当用户到达注销终结点时,刷新令牌将被销毁。
我想知道这是否是一个很好的解决办法,或者,是否有其他可能的解决办法需要考虑。我在谷歌上看到过很多文章,但它们都来源于2015年至2019年之间的任何地方,而且它们都有不同的方法。
浏览 2提问于2020-03-08得票数 1
我们要做的是:
用户打开一个他/她用谷歌登录登录的网页
access_token和refresh_token被发送到我们的后端服务器
后端服务器必须读取存储在google驱动器上的xlsx文件(后端服务器向Google API v4发出请求)
我使用这个插件的web应用程序使用角8。
查看.NET - 的Google库,似乎没有对设置access_token或refresh_token的任何支持。只有client_id和client_secret。
然后,我的另一种方法是使用REST,它可以工作:
static void Test()
{
string baseUrl
浏览 2提问于2019-12-17得票数 0
1回答
半私密OAuth授权码的安全性
、、、、
我正在开发一个应用程序,在这个应用程序中,OAuth秘密不可能完全被保护;有一组用户需要对其进行公开。因此,想象一下这样的情况:
一家公司正在为公众开发软件,该软件依赖于OAuth2向第三方提供认证。但不可避免的是,该应用程序的OAuth秘密将暴露给公司的所有雇员。据推测,一些坏员工可能会把它用于邪恶的目的,或者与其他人分享。
我最初倾向于认为,这样的环境应该使用implicit OAuth2工作流,该工作流不依赖于服务器上保留秘密的密钥。然而,我读到的越多,我就越倾向于相信authorization code工作流实际上可能更适合这里,因为秘密密钥--虽然不是完全保密--至少只暴露在“受信任
浏览 14提问于2014-02-21得票数 5
回答已采纳
我很难通过与亚马逊的Alexa文档一起完成这项工作。我在帐户链接上搁浅了,因为我不知道如何通过亚马逊( Amazon )登录来请求alexa::skills:account_linking范围。
我已经在我的应用程序中包含了Amazon库,并且正确地设置了所有这些,我正在使用(全局可用的) amazon对象调用流程,如下所示(类型记录):
const options: any = {};
options.scope = ['profile', 'alexa::skills:account_linking'];
options.scope_
浏览 2提问于2019-10-22得票数 6
我们使用用户名-密码授权从身份验证服务器获取访问令牌。我们希望使用提供的刷新令牌在访问令牌过期之前刷新它,直到用户注销或关闭客户端应用程序。
但是,我就是找不到任何有关如何发出此刷新令牌请求的示例。
为了获得令牌,我们调用如下代码:
curl -v --data "grant_type=password&username=user&password=pass&client_id=my_client" http://localhost:8080/oauth/token
因此,为了刷新,我希望调用看起来像这样:
curl -v --data "gra
浏览 0提问于2013-10-29得票数 25
回答已采纳
我想听听关于使用Silverlight中的独立存储来存储敏感数据的一些意见。例如,是否可以在此存储中存储身份验证令牌(标识服务器端会话的某个GUID ),或者使用cookies更好?
独立存储提供了比cookies更大的优势,因为它是跨浏览器共享的,但它可能更难处理过期,并且可能存在一些其他问题(安全性?)我不知道的事。
所以..。你的意见是什么?或者你知道任何关于这个主题的好文章吗?
谢谢,雅各布
浏览 0提问于2008-10-31得票数 2
回答已采纳
2回答
假设我们有一个非常简单的Java应用程序,它在远程服务器上编辑资源,它使用Access令牌进行身份验证。应用程序总是使用相同的标识,因此它总是使用相同的客户端id、秘密和刷新令牌来获得访问令牌。
整个认证过程应该在不需要用户干预的情况下进行,并且应用程序应该自动执行由用户从另一个应用程序触发的操作。另一个应用程序是发送HTTP请求,但是整个程序只能在内部网络中访问,并且没有任何“合法”的方法来访问外部的HTTP请求。
是否有办法保存此数据(刷新令牌、客户端id、机密.)在我的申请范围内安全?
我见过类似的问题,但他们都在谈论网站和曲奇,但这应该发生在罩下,没有任何正面等等,所以我认为这些不适用
浏览 6提问于2022-01-11得票数 0
我正在努力实现OAuth 2.0服务器,在阅读RFC6749规范时,我意识到关于“刷新访问令牌”。解释我们只需要使用刷新令牌,我们必须获得一个新的令牌。
但是,例如,除了刷新令牌之外,Google还需要用户ID和秘密来做到这一点。
这让我感到困惑,因为一方面Google每天都在处理大量的请求,而且我们编写的规范可能考虑的范围较小。
每小时发送一次秘密和刷新标记好吗?
就我个人而言,我认为不是:因为用户ID和秘密应该只用于检查整个OAuth 2.0过程。
基本上
在每一个请求中,你都会使用标记来证明你是谁。
每小时只使用一次刷新令牌(每次刷新时可能会更改)
秘密和用户ID尽可能少地上
浏览 3提问于2016-11-08得票数 1
回答已采纳
我指的是关于推设备注册(POST)的MobileFirst服务器推送服务REST的文档。从文档()中,有效载荷如下所示
{
"deviceId" : "12345-6789",
"phoneNumber" : "123456789",
"platform" : "A",
"token" : "xyz",
}
我可以看到,令牌的描述是“通过服务提供者获得的设备令牌”,但我仍然不知道应该从哪里获得这个令牌。
我还需要调用其他api才能得到这个“令牌”吗?如
浏览 2提问于2018-02-21得票数 1
回答已采纳
我使用spring引导作为后端,使用Android设备作为系统的前端。现在,我面临着使用Spring-OAuth2保护我的资源服务器的挑战。
我有一些问题想和你讨论:
我的知识+ 是说,我应该使用OAuth2.0“密码”授予类型为我的移动应用程序,以获得一个访问令牌。官方给出了一个示例,说明如何使用密码授予类型获得访问令牌:
$ curl client:secret@localhost:8080/oauth/token -d grant_type=password -d username=user -d password=pwd
下面是我的第一个问题:是否有可能在不发送“客户端机密”的情况下使
浏览 1提问于2016-02-18得票数 3
回答已采纳
来自文档:
它提到了“机密客户端”,刷新令牌是"until-revoked".
机密客户端是能够安全地存储客户端密码(秘密)的应用程序。它们可以证明请求来自客户端应用程序,而不是来自恶意参与者。例如,web应用程序是一个机密客户端,因为它可以将客户端机密存储在web服务器上。它没有暴露出来。由于这些流更安全,向这些流发出的刷新令牌的默认生存期是until-revoked,,因此不能通过使用策略来更改,并且不会在自愿的密码重置时撤销。
那么,我的Azure广告应用程序就是Web应用,那么,我如何才能将Azure广告应用程序更改为“机密客户端”呢?我找不到任何的应用程序设置
浏览 1提问于2018-02-27得票数 3
回答已采纳
我试图在OAuthAuthorizationServerProvider 2中实现一个简单的ASP.NET WebAPI 2,我的主要目的是学习如何为移动应用程序提供一个令牌。我希望用户使用用户名和密码登录,然后接收令牌(和刷新令牌,这样他们就不必在令牌过期后重新输入凭据)。稍后,我希望有机会打开API,供其他应用程序使用(就像使用Facebook之类的应用程序一样)。
下面是我如何设置我的AuthorizationServer:
app.UseOAuthAuthorizationServer(new OAuthAuthorizationServerOptions()
{
AllowI
浏览 5提问于2016-04-03得票数 7
回答已采纳
4回答
据我所知:客户端秘密在OAuth1中很重要,但在OAuth2中已经不再那么重要了。
但像谷歌和Twitter这样的公司似乎需要客户机密才能获得访问令牌。
从授权服务器的角度来看(例如Google、Twitter、Github.):在哪些情况下客户端秘密重新推荐/(必需)?
从授权代码中获取访问令牌。
使用刷新令牌获取新的访问令牌。
通过访问令牌获取资源。
仅仅通过授权代码获得访问令牌就足够了吗?或者当有人使用访问令牌获得重新源时,它也应该被执行吗?
TLDR:在我的例子中:客户端秘密是请求“通过授权代码获取访问令牌”和请求“获取新访问令牌&刷新令牌-令牌”所必需的
浏览 0提问于2019-03-27得票数 1
4回答
我在Auth0站点上阅读有关的文档,它们声明不能安全地存储在浏览器中,而是使用沉默身份验证来检索新的访问令牌。
单个页面应用程序(通常实现隐式拨款)在任何情况下都不应获得刷新令牌。其原因是这条信息的敏感性。您可以将其视为用户凭据,因为刷新令牌允许用户基本上永远保持身份验证。因此,不能将此信息保存在浏览器中,必须安全存储。
我很困惑。据我理解,检索新访问令牌的唯一方法是向Auth服务器提交一个新请求,以及某种形式的Auth0会话cookie,以验证登录的用户。在接收到会话cookie之后,Auth0服务器将能够发出一个新的访问令牌。
但是,这与浏览器中或本地存储中有一个刷新令牌有什么不同
浏览 3提问于2018-03-15得票数 31
我一直在努力理解OAuth2是如何工作的。一开始,我认为花一个额外的步骤为访问令牌交换auth代码+客户端秘密是多余的--为什么不让服务器直接返回访问令牌。为此我找到了。
那么让我困惑的是,为什么它需要一个clientId和一个客户端的秘密,而不是仅仅是一个秘密?一个既能声明又能证明自己的秘密。然后,当客户端应用程序向服务器发送用户授权访问服务器资源时,可以简单地将其传递给服务器。
谢谢!
浏览 9提问于2015-11-06得票数 1
回答已采纳
4回答
对于每个,似乎只有离线应用程序(当用户不在时可能运行到过期访问令牌的应用程序)才需要刷新令牌。
访问令牌定期过期。如果请求脱机访问与令牌关联的作用域,则可以刷新访问令牌,而无需提示用户获得权限(包括用户不在场时)。
..。
当用户不在场时,请求离线访问是任何需要访问Google的应用程序的要求。例如,执行备份服务或在预定时间执行操作的应用程序需要能够在用户不在场时刷新其访问令牌。默认的访问样式称为联机。
但是,和似乎都暗示,无论何时您想要请求一个新的访问令牌,都需要刷新令牌。
我想我会同意谷歌的解释,而不是使用刷新令牌。我在OIDC提供商方面的经验是,刷新工作如下:
用户从客户端服
浏览 6提问于2017-04-28得票数 18
我用oath2做了我自己的认证服务器(没有使用任何facebook或google),我想知道在移动设备上首先在哪里存储客户端秘密。由于共享首选项可以在根电话上被黑客攻击,而访问令牌请求需要客户端id,因此我面临着一个问题。
(请不要将此问题标记为重复,因为我在类似的帖子中没有找到答案)
浏览 0提问于2016-05-01得票数 2
在Oauth2.0中,客户端必须通过“反向通道”将客户端秘密发送到授权服务器,以确保授权(代码)授予是正确的,并使用访问令牌进行交换。但是,使用Google登录,验证“授权授予”的后端服务器代码(在python中)似乎不需要发送客户端机密:
# Specify the CLIENT_ID of the app that accesses the backend:
idinfo = id_token.verify_oauth2_token(token, requests.Request(), CLIENT_ID)
这怎么会是?
浏览 10提问于2022-04-17得票数 0
我想在winforms应用程序中使用天蓝色密钥库。我成功地将应用程序添加到Azure活动目录中,并使用powershell在密钥库中创建了一个秘密。该应用程序被认证使用这个秘密。不幸的是,我无法在我的winforms应用程序中使用这个秘密。我有个例外:
*sts_token_request_failed:对安全令牌服务的令牌请求失败。有关更多细节,请查看InnerException。
InnerException: AADSTS70002:验证凭据错误。AADSTS50012:提供了无效的客户端秘密。
配置:
<appSettings>
<add key=&
浏览 2提问于2016-06-06得票数 0
1回答
我的公司正在构建一个RESTful应用程序接口,它将返回中等敏感信息(即财务信息,但不返回帐号)。我可以控制Android应用程序接口代码/服务器,也可以构建RESTful应用程序。我已经将应用程序接口设置为使用具有授权码授权流的OAuth 2(使用客户端ID和密钥),并且我自动批准用户,而不必批准客户端,因为我们同时拥有客户端和提供商。我们将CAS用于单点登录,当用户登录以检索令牌时,我将其用于授权服务器,作为OAuth 2流程的一部分。
我正在考虑各种方法来保护Android应用程序上的数据。我的结论是,在设备上存储客户端id和密钥肯定不会发生,但我认为存储身份验证令牌可能会起作用,因为这
浏览 5提问于2012-08-17得票数 3
回答已采纳
1回答
我不明白大猩猩包装的目的。https://github.com/gorilla/securecookie/blob/master/securecookie.go。我可以看到,它正在使用,根据存储在cookie和散列算法和键区中的会话id获取服务器上的cookie值。https://github.com/gorilla/sessions/blob/master/store.go
因此,如果我正确理解,这只能在攻击者接管该框时保护会话数据。因为他将在获取所有用户会话id的会话值时遇到困难。但是,如果他已经接管了盒子,他可以得到他想要的一切,所以在现实中它没有受到保护。
同样,这种保护也无法防止中间
浏览 0提问于2015-04-21得票数 1
回答已采纳
2回答
如何防止刷新被盗的访问令牌
、、、、
场景是:您有一个在较长时间内有效的刷新令牌和一个在较短时间内有效的访问令牌。
设置:有一个客户端、应用服务器和身份验证服务器。
客户端存储访问令牌。
应用服务器存储刷新令牌。
身份验证服务器分发刷新+访问令牌。
其中一个优点是,窃取的访问令牌只能在其有效的时间内使用。
假设黑客窃取了30分钟有效的访问令牌。当黑客在30分钟后使用有效但过期的被窃访问令牌发出请求时,应用服务器使用刷新令牌刷新该请求,从而获得一个新的有效访问令牌,而不是过期的访问令牌。
如何才能防止这种情况发生?
浏览 4提问于2018-05-11得票数 5
出于客户的原因,我的web应用程序使用简单的API (如bool authenticate(string username, string password) ),根据专有的用户数据库对用户进行身份验证。
如果用户更改密码或帐户关闭等,我将需要定期(比如每半个小时)根据用户数据库重新验证身份,但我显然不想每半小时问一次用户的密码。
我正在使用ASP.NET核心cookie身份验证。在声明中存储纯文本密码是否合理,以便在需要重新身份验证时将其取回?当然,声明是由asp.net签名和加密的,并且只有在安全的信道上才能传输。
在我看来,与攻击者拦截原始登录请求或干扰用户密码管理器的风险相比,与此方法
浏览 0提问于2020-06-23得票数 1
我将使用OAuth和openId连接。我的应用程序将有一个单独的授权服务器和资源服务器。我想实现一个POC。我有几个问题: 1.如何在我的应用程序中存储收到的访问令牌?最好的选择是什么?2.资源服务器如何验证授权服务器生成的访问令牌? 3.如何在我的应用程序中实现会话管理?我读到openId连接是无状态的,但是为了验证我需要维护会话的令牌,我非常困惑。
我读了很多,但找不到授权和资源服务器是分开的这个场景。
浏览 0提问于2018-10-29得票数 1
我非常幸运地使用DotNetOpenAuth完成了3条腿的授权。目前,我正在连接并获取一些谷歌数据。
我的问题是,显然,如果您已经将我的web应用程序验证到您的Google帐户,当我调用
var accessTokenResponse = google.ProcessUserAuthorization();
它基本上什么也不做。如何为已经验证了我的应用程序的帐户获取令牌?我没有看到任何形式的回调。
总的来说,我对OAuth一无所知,这让我很难接受。
浏览 0提问于2010-06-16得票数 1
回答已采纳
我正在开发一个Facebook连接的网站使用PHP SDK,我正在寻找关于伸缩的最佳实践的指导。
我有两页
->用户在此处阅读web应用程序并授权该应用程序
然后,用户可以选择转到另一个页面:
基于使用查询的数据为用户生成的->自定义页面
我希望将此应用程序分布在PHPFog上的一系列服务器上,它们位于负载均衡器之后。这意味着用户最终可能会从Server1获取foo.php,然后被重定向到用于bar.php的Server2。我担心这会破坏Facebook的身份验证会话。
有没有人知道我如何才能正确地为这个场景编写代码,或者是否有任何发布的最佳实践?
浏览 0提问于2012-03-28得票数 0
回答已采纳
这很有趣,但是我找不到关于在没有iOS Google+库的情况下使用HTTP请求接收Google+身份验证码进行离线访问的描述。
虽然它的集成示例非常简单,但我不想在我的iOS应用程序中增加20mb的额外重量。
我尝试了这里描述的方法
但是在服务器clientId的情况下,我接收到关于不正确的重定向uri的消息。
有人能给我一些建议吗?
浏览 3提问于2014-09-09得票数 0
我希望帮助获取/定位API调用的正确access_token值。
我正在配置一个应用程序,它希望使用上的图形api搜索请求搜索Facebook,为此我需要一个access_token。应用程序是后端服务器,因此没有UI,也没有用户。
我注册了一个新的‘应用程序’使用开发人员页面‘创建一个新的应用’链接,所以我现在有一个应用程序在:<>,并从中我得到一个‘应用秘密’令牌。深入到应用程序的高级设置页面,还有一个客户端令牌。
但是,使用这两种标记都会导致以下JSON错误:
{“错误”:{“消息”:“无效的OAuth访问令牌”,“类型”:“OAuthException”,“代码”:190
浏览 2提问于2014-05-07得票数 5
回答已采纳
我有一个带有输入字段的网站(asp.net核心3),访问者输入的所有数据都将保存到firebase子(实时数据库)中,我正在使用FireSharp ( .NET & Xamarin的Firebase包装器)。
FireSharp只使用authSecret,所以我的服务器将绕过我的实时数据库规则,即使我的规则是;
{“规则”:{ ".read":false,".write":false }
我能用安全规则保护我的数据库吗?
把秘密放在我自己的服务器上安全吗?
浏览 3提问于2022-11-11得票数 0
我的问题可能缺乏细节,但我只是不明白整个过程应该如何运作。我该如何实施呢?有什么方法?欢迎任何指导。
我已经遵循了官方文件,他们的指南,但即使我得到了一些工作,我真的不知道我是否做了正确的事情,因为这是我需要的最终结果?
我想我需要服务器端来将会话和凭据存储到数据库中。
这是我学校的一项附带任务,我也只限于使用Golangs标准软件包。
浏览 5提问于2022-01-11得票数 -2
我有一个移动应用程序,它使用我的Spring后端来进行身份验证和访问数据。Spring应用程序的一部分使用OAuth2从资源服务器访问数据。我偶然发现了一个 for Spring,它发挥了它的魔力,而且一切都是凭空捏造的。
当我试图弄清楚这个库是如何工作的时,我似乎找不到它处理刷新令牌的方法的答案。我知道oauth2client绑定到每个用户的会话,但是当会话结束时会发生什么呢?访问和刷新令牌不会丢失吗?
我在为数据库中的每个用户寻找持久刷新令牌的方法,但在库中没有找到对此的任何支持。这让我想知道我是否必须自己实现它,或者是否有必要这样做。
如有任何建议,敬请谅解!
浏览 2提问于2019-10-14得票数 0
1回答
因此,我不确定我的问题是否符合堆栈溢出,但我会尝试一下,看看我对JWT的了解是否真的正确,还是完全超出了循环的范围。
因此,我创建了一个服务器API,它读取从客户端应用程序发送的POST请求,并返回Bearer令牌,这是访问我创建的API的其余部分所必需的。
到目前为止,我有一个服务器api,如果用户名和密码与登录名匹配,它就会创建Bearer令牌。
一个简单的POST请求看起来就像
{'username': 'hello', 'password': 'world'}
因此,我所做的是用一个秘密代码创建了一个从JWT.IO站点编码
浏览 0提问于2019-12-19得票数 0
回答已采纳
我们的客户希望我们实现一个可信的子系统设计,这意味着他们有他们的Azure AD (客户端AD)来授权用户为前端服务。并要求我们使用我们自己的Azure AD (Dev AD)来授权前端到后端。我们管理来自Cliend的授权流(使用角-msal库),没有任何问题。我们得到一个访问令牌并被授权进入前端。但是,我需要使用client_secret,application_id.从(Dev )请求另一个访问令牌,而不需要用户交互()。能够调用安全API (我们的后端)。我后台的人就是这么提议的。因此,在此之后,他们可以在后端验证第二个access_token,并向客户端提供安全数据。我的问题是:这是
浏览 1提问于2021-08-22得票数 1
1回答
到目前为止,我只有一个客户端(web应用程序)执行OAUTH2授权流程,然后将访问令牌和刷新令牌都发送到服务器(ASP.NET Web API)。
然后在服务器上,这些令牌将用于对Google API执行几个操作。
到目前为止,一切都很完美,我们需要添加执行相同OAUTH2授权流程的移动客户端。
这需要我在谷歌控制台下添加这些安卓和iOS应用程序。这3个(Web、Android和iOS)都属于同一个项目。
现在问题来了,因为在服务器上我必须使用谷歌给我的json文件(带有clientId和secret),到目前为止,它和webapp使用的是一样的。但现在,由于我们在同一个项目中有了两个新客户端
浏览 2提问于2018-07-21得票数 6
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
