如何在asp.net web api中制作小密码重置令牌?
在ASP.NET Web API中制作小密码重置令牌,可以通过以下步骤实现:
- 首先,确保你已经创建了一个ASP.NET Web API项目,并且已经设置好了用户身份验证和授权机制。
- 创建一个用于生成和验证密码重置令牌的工具类。这个工具类可以包含以下方法:
- 生成令牌:该方法可以生成一个随机的令牌字符串,可以使用Guid.NewGuid()方法生成唯一的令牌。
- 存储令牌:将生成的令牌与用户关联,并将其存储在数据库或缓存中,以便后续验证使用。
- 验证令牌:该方法用于验证用户提交的令牌是否有效,并且与用户关联。
- 在ASP.NET Web API的控制器中,创建一个用于处理密码重置请求的方法。该方法可以接收用户的用户名或电子邮件地址作为输入,并执行以下操作:
- 验证用户的身份和权限。
- 生成密码重置令牌。
- 将令牌与用户关联并存储。
- 发送包含令牌的密码重置链接到用户的电子邮件地址。
- 创建一个用于处理密码重置的页面或API端点。该页面或API端点可以接收用户提交的令牌和新密码,并执行以下操作:
- 验证令牌的有效性。
- 更新用户的密码。
在ASP.NET Web API中制作小密码重置令牌的过程中,可以使用以下相关技术和工具:
- 前端开发:使用HTML、CSS和JavaScript来创建密码重置页面,并使用AJAX技术与后端API进行通信。
- 后端开发:使用C#语言和ASP.NET Web API框架来处理密码重置请求和验证令牌的有效性。
- 数据库:使用关系型数据库(如SQL Server)或非关系型数据库(如MongoDB)来存储用户信息和密码重置令牌。
- 软件测试:使用单元测试和集成测试来确保密码重置功能的正确性和稳定性。
- 服务器运维:使用服务器管理工具(如IIS)来部署和管理ASP.NET Web API应用程序。
- 云原生:将ASP.NET Web API应用程序部署到云平台上,如腾讯云的云服务器CVM,以实现高可用性和弹性扩展。
- 网络通信:使用HTTP和HTTPS协议来进行客户端和服务器之间的通信。
- 网络安全:使用SSL/TLS协议来保护密码重置请求和令牌的传输安全。
- 音视频:如果需要在密码重置过程中进行音视频通信,可以使用WebRTC技术。
- 多媒体处理:如果需要在密码重置过程中处理多媒体文件,可以使用相关的多媒体处理库或服务。
- 人工智能:如果需要在密码重置过程中应用人工智能技术,可以使用相关的机器学习或自然语言处理库或服务。
- 物联网:如果需要在密码重置过程中与物联网设备进行通信,可以使用相关的物联网平台或协议。
- 移动开发:如果需要在移动设备上实现密码重置功能,可以使用相关的移动开发框架(如React Native)来创建移动应用程序。
- 存储:使用云存储服务(如腾讯云的对象存储COS)来存储用户信息和密码重置令牌。
- 区块链:如果需要在密码重置过程中应用区块链技术,可以使用相关的区块链平台或协议。
- 元宇宙:如果需要在密码重置过程中应用元宇宙技术,可以使用相关的虚拟现实或增强现实技术。
请注意,以上是一种可能的实现方式,具体的实现细节和技术选择可能会根据具体需求和项目要求而有所不同。
相关·内容
有人能给我看一些关于忘记密码示例的代码吗?我对此一无所知。为了登录并记住我,我使用了asp.net MVC的成员提供程序。
浏览 2提问于2011-11-25得票数 0
回答已采纳
我们有两种不同的方式让人们执行忘记密码: 1.通过网站-mywebsite.com/account/ forgot 2.通过我们的应用程序-点击“忘记密码”将用户的电子邮件地址传递到我们的asp.net web api,后者反过来创建代码并发送电子邮件。
单击电子邮件中的链接将显示正确的页面,我们可以在其中输入电子邮件和新密码。当使用选项1重置密码时,它工作正常。使用选项2会产生无效令牌错误。网站和web api位于同一台服务器上。
以下是Web api代码:
var user = await UserManager.FindByEmailAsync(email);
浏览 17提问于2018-01-28得票数 0
回答已采纳
我正在创建一个RESTful web服务,并尝试遵循创建一个好的web服务的约定和建议。不过,现在我已经停下来了。我的系统中有一个用户实体,我对它有常规的CRUD路径。我想公开一个API来处理忘记的密码。它将接受请求中的用户名,然后检查是否找到该用户。如果是这样,它将更改密码,并将密码更改为自动生成的密码,并向用户发送电子邮件。
我读到了这个:,我发现我可能也应该开始将非数据库实体作为资源来考虑。
但是在我的API中找到一个忘记密码的概念仍然有问题。
我该如何命名该路径,以及适合它的HTTP方法是什么?是否应该使用PUT,因为它会用新密码更新用户?
浏览 3提问于2013-05-20得票数 1
回答已采纳
在我的ASP.NET应用程序中,API控制器公开了REST web服务。这些服务对于我将业务层与视图层同步是非常有用的。现在我想让它们更加安全,因为我觉得我的所有数据都是公开的,只要他输入web服务的http url,任何人都可以访问这些数据。我的web服务有任何用户名/密码安全机制吗?或者这是通过对IIS的特定配置完成的?
浏览 4提问于2014-04-10得票数 0
回答已采纳
我正在尝试理解如何使用ASP.NET Web API制作一个应用程序接口,它将受到的保护,同时仍然可以从非web环境(例如本地移动应用程序)访问。
我的第一个想法是,非web环境永远不可能成功通过防伪令牌验证,因为它没有发布的表单。这是真的吗?有没有办法让验证起作用呢?
如果没有验证的方法,我的第二个想法是提供一个API来验证web调用的防伪令牌,但不能验证非web调用的防伪令牌。但是,看起来攻击者可以很容易地使用这种“非web”API进行CRSF攻击,对吧?
答案是非web API只需要支持非web身份验证机制(OAuth?),这样对它的请求就不能通过浏览器重放吗?或者有没有更简单的方法?
浏览 1提问于2013-04-02得票数 9
回答已采纳
我将使用Dot Net Core创建一个web应用程序。将来,我还将为同一应用程序创建移动应用程序。现在,我正在思考这个项目的架构。我想使用使用Asp.net身份核心的WEB API核心。此外,我还将在MVC核心应用程序中使用WEB API。但我想到的问题是,我如何使用MVC和WEB API来处理ASP.net标识?我需要同时包含在MVC中还是仅包含在WEB API中? 我努力想了想,但还是很困惑。需要建议。
浏览 31提问于2019-06-20得票数 0
我正在开发一个安卓应用程序,对于web服务,我使用api mvc,而对于post和从asp.net获取数据,我有用户改造。如何使用api对用户进行身份验证,以便只有经过身份验证的用户才能访问我的web api
浏览 2提问于2018-10-20得票数 0
我正在用ASP.NET实现IdentityServer4核心身份。一个特性是密码重置,我发现所有示例(例如IdentityServer4 4快速启动和ASP.NET标识示例)都倾向于这样做:
密码重置令牌(“代码”)通过电子邮件中的URL传递到页面,并“神奇地”沿新密码发布。
该表单(当然还有一个新密码)要求您填写电子邮件地址。
这是必要的,因为当您使用密码重置令牌时需要一个ApplicationUser,这只能通过UserId、Name和Email之类的东西获得。
我见过很多网站(一些主要网站)只需要新密码,不需要电子邮件。考虑到您只能通过电子邮件接收密码重置令牌,那么要求用户重新输入电子邮
浏览 0提问于2018-01-23得票数 0
回答已采纳
假设我创建了一个链接到ASP.NET应用程序接口的AngularJS web应用程序。询问用户的用户名和密码,将其存储在缓存(客户端)中,然后在整个用户会话中使用它进行api调用,这是可以接受的吗?
当他们注销时,缓存将被删除。
浏览 1提问于2017-06-24得票数 0
我使用默认的GeneratePasswordResetToken方法在用户的电子邮件中发送密码重置令牌,但它相当大,比如200到300个字符。我想制作更小的令牌,比如5/6位数长,它的寿命在3分钟内到期。我该怎么做呢?
浏览 20提问于2019-05-16得票数 0
回答已采纳
2回答
我不确定是否应该在StackOverflow或其他stackexchange通道上创建它,但让我们在这里试试。
我们有一个用asp.net core制作的web,它使用basic authentication,其中另一个web应用程序将一些登录数据发布到api中,它响应下一个请求的令牌。客户端应用程序存储此令牌,下一个获取/发布数据的请求使用此令牌密钥进行身份验证。从api的角度来看,它工作得很好。
这里的重点是我们的网络应用。我们正在使用react.js构建它,以及如何确保身份验证令牌的安全性。我们将令牌存储在当前的应用程序上(在web浏览器中执行)。我们对将其存储在浏览器上有一种感觉,因为
浏览 4提问于2019-11-22得票数 3
我有一个ASP.NET核心2.1Web应用程序,并正在添加忘记密码功能。我看过几个例子,它们似乎采取了两种方法之一。第一种方法是将用户id或用户的电子邮件与密码重置令牌一起包括在密码重置url中。第二种方法是只在密码重置url中包含密码重置令牌,然后要求用户在试图更改密码()时输入标识信息(例如电子邮件)。是否有一种方法来查找用户只给出密码重置令牌?
我的团队负责人要求我只传递密码重置url中的令牌,然后查找用户。我最初的研究让我相信,我必须手动保存用户id和令牌关系的记录,但我希望有内置的东西。我已经检查了,但是没有找到任何方法来检索给定令牌的用户。
下面是在密码重置URL ()中嵌入用户i
浏览 3提问于2020-01-17得票数 4
回答已采纳
我正在开发asp.net Core2.2中的一个网络应用程序。Web API为来自Web应用程序的每个请求提供服务。我在Web API中使用JWT令牌身份验证。该令牌包含在来自web应用程序的每个请求中。
Web应用-> Web API ->数据层-> EF核心->DB
在登录过程中,用户在web界面上输入电子邮件和密码,然后点击登录按钮。请求发送到Web API,而不是从所有其他层传递到DB。如果用户是有效的,那么在Web API中会生成一个令牌,并在响应中将其传递给Web App。现在,在从Web App到Web API的每一次请求中,Web-APP都会在报头中发送
浏览 13提问于2019-07-05得票数 0
我正在使用ASP.NET 4.5Web表单:我需要用户能够通过电子邮件(仍在处理)、安全问答和使用遗忘密码方法来重置他们的密码。
我遇到的问题是,为了使用重置/更改密码方法,我需要将安全问题/答案转换为false。因此,我通过创建一个存储安全问题和答案的表来创建一个工作。
当用户正确回答时,除了输入ID号外,他们还会被降落在重置密码页面上。这一切都很好,他们可以重置密码和登录。
My的问题:我需要重置密码页面才能不公开,有什么方法可以利用用户名(当用户正确回答时从DB获得)来访问重置页面吗?
目前,任何人都可以访问这个URL。我也在考虑在同一个页面上的Enable/Disable控件,而不是一
浏览 1提问于2013-06-09得票数 1
回答已采纳
请参见以下更新:
我正在使用ASP.NET SQL成员资格提供程序。
到目前为止,我能够允许用户更改他们的密码,但前提是他们是认证的或登录到应用程序。我真正需要的是用户能够在电子邮件中获得链接。他们可以点击这个链接并重置密码。
例如:假设一个用户忘记了他或她的密码,他们可以访问一个页面,他们可以输入安全问题和答案;或者他们的电子邮件地址在文件中。然后他们会收到一封带有链接的电子邮件来重置他们的密码。
到目前为止,我所拥有的只是:它只允许通过身份验证的用户重置其密码:
我不想使用产生密码的恢复控制。
public void ChangePassword_OnClick(object sender
浏览 3提问于2013-06-05得票数 2
回答已采纳
我正在尝试制作一个AngularJs网站,将登录和密码发送到ASP.NET WebApi后端,并使用Thinktecture登录这个用户。
我有思想结构与其他项目,ASP.NET MVC,使用WS-联邦很好的工作.现在,我试图做一些类似的事情,但改变一些组件,我无法使它工作。
我如何从ASP.NET WebApi发送userName和密码到Thinktecture并进行验证?
using System.Collections.Generic;
using System.IdentityModel.Services;
using System.Web.Http;
using WebApi_Ang
浏览 0提问于2014-06-06得票数 6
回答已采纳
2回答
我正在为我正在构建的web服务使用ASP.NET WebAPI。web服务将使用身份服务对用户进行身份验证。
对于如何在外部验证用户身份,我有点困惑。我们目前的系统非常基本--我们在XML请求中发送用户名和密码作为单独的字段,所有这些都在一个请求中完成。
根据我在Google上看到的,最好的方法是从Ali请求一个令牌,然后在后续的请求中传递这个令牌。有没有一种方法可以在一个请求中完成所有这些操作(即,在单个请求中向API发送我的数据请求以及用户名/密码或API密钥?)
浏览 1提问于2014-09-24得票数 1
因此,我已经建立了一个应用程序使用ASP.NET核心。这是我的密码
services.AddAuthentication(AzureADDefaults.JwtBearerAuthenticationScheme)
.AddAzureADBearer(options => Configuration.Bind("AzureAd", options));
services.Configure<JwtBearerOptions>(AzureADDefaults.JwtBearerAuthenticationScheme, options
浏览 2提问于2020-09-03得票数 1
回答已采纳
2回答
我一直在网上搜索如何在安全密码重置系统(带有重置url的电子邮件)上搜索最佳实践,在数据库中散列令牌的想法(我一开始没有实现)似乎是存储令牌的最安全的方法。
我目前正在遵循这指南,而他没有提到(为什么?)
我使用bcrypts作为密码散列,所以这也是我所使用的。
然而,用于验证的同步是这样的:Bcrypt.verify(非散列,散列);
所以我的问题是:如果reset-链接只包含令牌(它不在db中,哈希是)--我如何在db中找到用户?
在重置链接中添加电子邮件/用户it安全吗?我看到的其他服务都没有这样做(afaik),只有令牌(它们没有在db中散列令牌吗?)。
我不想制定我自己的计划,将造成
浏览 0提问于2015-05-16得票数 2
解释了如何注册web应用程序。目前还不清楚是否通过web,它包括SPA (角和反应)和API (类似于Dotnet核心web )。即使是这个也不包含一个秘密。
我的理解是,秘密就像一个应用程序的密码。然而,哪种类型的应用程序需要它,服务器端的web应用程序(ASP.NET MVC,ASP.NET WEB ),SPA喜欢角?
谢谢你的帮助
浏览 3提问于2021-01-15得票数 0
回答已采纳
我的应用程序是一个ASP.NET标识2 Web应用程序。在我的启动课程中,我将AccessTokenExpireTimeSpan设置为14天:
public partial class Startup
{
public static OAuthAuthorizationServerOptions OAuthOptions { get; private set; }
public static string PublicClientId { get; private set; }
// For more information on configuring authe
浏览 6提问于2014-11-30得票数 2
回答已采纳
我有一个web应用程序,它将散列密码重置令牌存储在数据库表中。令牌是随机生成的256位值。我目前正在使用Python的passlib sha256_地窖函数对令牌进行散列,默认为使用535000轮。
为了加快哈希计算,我希望减少sha256_crypt函数今后使用的轮数。Passlib允许您在1000到999999999之间选择一个圆圈值(包括在内)。考虑到我正在散列256位随机值,我会安全地把子弹数量减少到1000次吗?这样做会有什么严肃的安全权衡吗?
浏览 0提问于2017-10-09得票数 0
回答已采纳
5回答
我使用Asp.Net身份生成密码重置令牌。
string Token = userManager.GeneratePasswordResetToken(userId);
上面的代码给了我一个很长的令牌。是否可以生成长度较短的密码重置令牌?
浏览 0提问于2015-06-29得票数 10
1回答
我正在处理一个项目,其中我的用户将被预先加载到数据库中。所有用户在首次登录时都将被强制更改默认密码。
我想知道如何将用户密码设置为默认密码?如果用户忘记了它,我如何将其重置为默认情况?
我做了一些研究,现在正在学习websecurity表,但我不是很清楚它的所有机制。
浏览 2提问于2013-06-27得票数 0
回答已采纳
我有一个API,即ASP.NET webapi2。不是.NET核心。那我就有反应SPA了。我用的是身份和Oauth2。
我正在实现auth系统,密码重置流使我有点困惑。API将生成一个通过电子邮件发送给客户端的令牌。然后,客户端单击该链接以导航到某个位置。
链接导航到客户端javascript应用程序是有意义的,后者从令牌获取参数并将它们提交给API。这方面的问题是,客户端url必须由API知道才能生成链接。我不想让API知道客户端应用程序的位置,因为这似乎是愚蠢的耦合。
另一个选项是密码重置链接直接导航到API,然后将用户重定向到客户端应用程序。这与API需要知道客户端在哪里存在相同的问题,
浏览 5提问于2017-05-03得票数 1
回答已采纳
2回答
我正在尝试为另一个MVC站点访问的MVC Web API配置身份验证。我在web.config中尝试了很多东西,有很多来自于此的建议。然而,这一切都无济于事。
我使用了来自MVC网站的以下代码:
var web = new WebClient();
web.UseDefaultCredentials = false;
web.Credentials = new NetworkCredential(username, password);
然后,我使用该web客户端调用另一个只包含API控制器的MVC站点上的方法。如果没有身份验证,一切都会正常工作,但我无法让身份验证工作。当发出请求时,我得到一
浏览 0提问于2013-11-24得票数 5
回答已采纳
我有一个现有的组合ASP.net、MVC和WebAPI网站,它使用标准的UserManager类来执行使用实体框架的身份验证。我现在需要‘交换’身份验证,并使用外部第三方REST web服务来进行身份验证,并存储和更新用户详细信息。
第三方web服务有一个简单的login端点,它接受用户名和密码,如果登录成功,它将返回一个令牌。
如果可能,我希望在用户登录后继续使用ASP.net Identity AspNetRoles表来管理该用户的角色。
实现此场景的最佳方法是什么?我最初考虑写一个自定义的UserStore,但是假设我有访问密码散列的权限,而我没有,我只能登录并使用第三方API端点更新密
浏览 13提问于2016-08-31得票数 2
回答已采纳
我正在使用o365 api客户端库将asp.net web应用程序与office 365电子邮件集成在一起。
我想使用c#代码登录,而不是显示Microsoft UI登录页面()。
如果我为用户提供了用户名/密码,并且用户名/密码正确,则它应该对用户进行身份验证,以查看asp.net web应用程序的office 365邮件。
提前谢谢。
浏览 6提问于2016-03-10得票数 0
我正在查看网站的ASP.NET标识,但用户管理面板不会是网站的一部分,而是合并到一个单独的桌面应用程序中。
使用ASP.NET标识的样板代码似乎包括:
var dataProtectionProvider = options.DataProtectionProvider;
if (dataProtectionProvider != null)
{
manager.UserTokenProvider =
new DataProtectorTokenProvider<ApplicationUser>(dataProtec
浏览 3提问于2015-02-02得票数 2
我们正在构建ASP.NET MVC核心web应用程序,并通过ASP.NET核心Web API访问数据。
我们必须对MVC Core和Web API Core端进行身份验证和授权。
如果用户在MVC核心web应用程序中进行了身份验证,则在访问web API核心上的数据时,不应再次进行身份验证。如果用户直接访问web API,则不应允许和要求身份验证。
我们还希望通过谷歌进行身份验证。
浏览 15提问于2016-09-08得票数 1
5回答
哪种更好些呢?
创建防篡改加密密码重置令牌,其中包含用户id和加密令牌内的过期时间。
生成一个随机令牌,并使用用户id和过期日期将其存储在数据库中。当用户单击链接时查找令牌。
我可以看到#2的一个优点是,您可以控制这些令牌。如果你想早点过期,你可以。我发现#1的一个困难是确保您发送的令牌确实是安全的和防篡改的。你完全依赖于不搞砸密码学。
ASP.NET 2.0是否有生成密码重置令牌的内置方法?
浏览 0提问于2013-02-22得票数 10
回答已采纳
1回答
只需使用标识服务器3的单一标志?
、、、、
我们正在创建8个本地应用程序(IOS,Android,可能是windows)。所有这些本地应用程序都具有使用ASP.NET Web构建的后端api。现在,我正在尝试在使用IdentityServer3 ()的基础上构建一个单一的标志。我的用户数据保存在ASP.NET标识2中,我只需要验证用户名/密码(没有外部身份验证)。现在我的困惑是
我需要多少个作用域/索赔,还是不需要范围/索赔?web只需要知道保存在ASP.NET标识表中的用户id、用户角色和用户声明。
我的客户端(本地应用程序)应该从SSO服务器请求哪些作用域?
在向我的后端id_token web-api发送请求时,它们是
浏览 1提问于2015-08-12得票数 0
回答已采纳
1回答
我正在制作无服务器应用程序。使用React + NodeJS + Firebase函数。我想做临时/一次使用链接“重置密码”页面。我怎么能这么做?
浏览 1提问于2020-07-06得票数 0
回答已采纳
我正在为我的ASP.NET应用程序执行密码重置机制。
我想知道,如果有人访问了我的数据库,他们可以轻松地读取密码重置令牌,也可以更改用户的密码,难道我不应该散列‘密码重置令牌’,然后将它们存储在我的数据库中吗?
注意:我说的是“密码重置令牌”,而不是真正的“密码”
浏览 2提问于2018-04-05得票数 1
回答已采纳
我正在“学习”如何使用OAUTH2和OpenId提供的安全性来开发ASP.NET Web。因此,我已经从Web API模板开始。Web模板有自己的“个人帐户”用户管理机制,可以通过/Token发布令牌。然而,使用这种机制获取刷新令牌有点棘手。 这让我思考,我是否真的应该通过使用IdentityServer来提供这种功能。如果是这样,据我所知,因为我使用的是ASP.NET 4.7/MVC5,而不是ASP.Core,那么我就应该使用IdentityServer3,而不是版本4。 此外,当访问令牌和刷新令牌过期时,还需要所有登录功能。
浏览 10提问于2019-02-26得票数 0
回答已采纳
我试图在我的application.The步骤中构建密码重置功能,如下所示:
'www.domainname.com/api/password-reset?token-idxxxxxxxxx‘在他的电子邮件中输入电子邮件并单击’发送重置链接到电子邮件‘,他将得到一个链接,类似于:当单击该链接时,他将被重定向到密码重置页面,以输入他的新凭据。
我的问题是如何验证param中的令牌是否正确。例如,如果有人复制粘贴URL并更改令牌,有点像:www.domainname.com/api/password-reset?token-id-newyyyyyy,,那么他不应该被重定向到重置页面。我怎么
浏览 2提问于2019-11-18得票数 2
回答已采纳
1回答
我想在Okta 中使用以下api实现忘记密码特性
对于这个api,我需要状态令牌。
所以我的问题是我怎样才能在Okta获得状态标记?
浏览 3提问于2017-06-21得票数 0
回答已采纳
2回答
在应用程序中,具有管理员角色的用户可以通过DRF端点创建新的用户帐户。
需要自动发送密码重置链接到新创建的用户的电子邮件。
我定义了一个网址:
path('v1/account/register/',
AccountCreationView.as_view(),
name='custom_account_creation'),
首先检查用户角色允许新用户创建的视图:
class AccountCreationView(RegisterView):
"""
Accounts Cre
浏览 16提问于2022-08-25得票数 0
回答已采纳
1回答
我在web项目中使用Java/Spring/Spring安全性。API可以通过REST获得,但每个API调用都需要对用户进行身份验证。目前,我的身份验证是基于用户名/密码的,这对web用户很好。接下来,我将创建移动应用程序来访问相同的功能。
API调用最好是相同的,但是身份验证可能是基于令牌的。我是否应该考虑将web/移动HTTP请求映射到不同的控制器,以便进行不同的身份验证?
这里的最佳实践是什么?
浏览 1提问于2016-03-11得票数 1
回答已采纳
在我的Web 2标识2应用程序中,在用户注册之后,我在单个表中只有一条记录: AspNetUsers。我使用以下http请求获取令牌:
POST https://localhost:44304/Token HTTP/1.1
Accept: application/json
Content-type: application/x-www-form-urlencoded
Accept-Encoding: gzip
Content-Length: 68
Host: localhost:44304
Connection: Keep-Alive
User-Agent: Apache-HttpClient
浏览 4提问于2014-11-25得票数 5
回答已采纳
2回答
“重置密码”功能应该在哪里?
、、、、
我们最近对我们的移动应用程序的后端进行了彻底的改进,从一个经过API的非常基本的身份验证机制变成了一个身份验证服务器和一个API服务器,其中auth服务器发出用于登录的OAuth2 JWT令牌(授权代码流),而API基于这些令牌对客户端进行身份验证。我们打开连接到应用程序上的移动设备浏览器,这样用户就可以直接将他们的凭证输入到auth服务器的web界面中,并且密码不必经过应用程序,这是一个潜在的安全风险。
我们还使用了同样的机制,为我们的“注册用户”和“更改密码”功能打开移动设备的浏览器,因为在这两种情况下,用户也会输入密码,我们不希望它通过应用程序。
但是,我不确定我们的“忘记密码”功能。目
浏览 0提问于2020-05-03得票数 2
回答已采纳
1回答
我有SSLMVC3网站,在整个网站上的Asp.Net。我确实在控制器上有登录操作,它接受userName和密码,并返回令牌,该令牌是用户在web application.In后台调用其他操作时使用的,这些操作调用我的REST api。
我如何确保合法用户不会访问我的网站,登录并在登录后使用Fiddler提取令牌?在那之后,他将能够使用该令牌调用我的REST api来做一些恶意的事情……
浏览 3提问于2012-03-01得票数 0
回答已采纳
3回答
这只是一个一般性的问题。我负责管理一个使用C# MVC编写的应用程序,该应用程序使用asp.net成员资格api。有了它,用户可以注册、更改其密码等。
我的应用程序由两个区域组成:管理员和用户。这个管理员区域有许多与应用程序相关的自定义管理功能,但是没有利用成员资格api的功能。
我希望能够使用成员资格api来实现用户管理功能,如重置忘记密码的用户的密码、锁定用户等等。
是否有任何资源或文章深入研究使用成员资格api的这一方面?
如有任何帮助,我们将不胜感激:)
谢谢
浏览 2提问于2011-01-09得票数 1
回答已采纳
1回答
我对asp.net web api、owin以及与之相关的一切都很陌生。我正在尝试找到完成此场景的最佳方法:
1-拥有所有连接和rest服务的Web api
2-使用restful服务在浏览器上向用户显示数据的网站
3-具有一些功能的移动应用程序,如网站和访问restful风格的服务,以获取所有信息
我的疑问是:与登录相关的最佳实践是什么?我将使用owin/oath2和身份来登录,但由于它将在web api上实现,因此登录/注册/忘记密码应该直接在web api上(就像项目模板一样),或者我应该将大部分功能转移到网站上?当然,它更容易留在web api中,但如果我这样做了,我必须复制我的剃刀模
浏览 1提问于2015-08-15得票数 0
1回答
我想在不使用Keycloak SMTP配置的情况下从我的web应用程序发送Keycloak用户重置密码电子邮件。为此,我正在尝试生成重置密码链接,但我不确定如何在URL中生成代码。是否有任何API调用来生成操作代码或完全重置密码URL?Keycloak生成如下所示的内容。我需要生成相同的代码。这就是我们的目标。 https://server.com/auth/realms/xxx/login-actions/action-token?key=ffdfdfdfd
浏览 18提问于2019-04-30得票数 5
我正在.NET 4.0上开发一个ASP.NET MVC4站点。我正在尝试向WEB API验证该站点。现在,站点将传递用户名和密码,WEB API将对其进行身份验证。如果身份验证,WEB API将返回一个令牌与角色,生存时间等。我正在寻找这方面的一些指针。
1.)如何生成此令牌?我不想使用STS或其他任何东西。即使是一种非愚蠢的方法也可以。2.)在MVC端,我必须接收这个令牌,并将当前会话设置为已验证,并确保一旦TTL过期,我将用户重定向到登录页面?另外,在所有WEB API请求中,我都需要发送这个令牌。
浏览 0提问于2013-04-21得票数 5
回答已采纳
我是WCF的新手(大部分时间,我都在使用ASP.NET Web API和MVC)。
我想知道WCF中是否有AuthorizeAttribute (自定义实现就可以了)。
例如:
+)在Web API中,我有以下步骤:
-)使用邮箱和密码调用POST api/login登录
-)在前端站点中存储email和password,每次前端发送请求时,必须在header中包含email和password以进行身份验证。
-)在后端,AuthorizeAttribute读取请求头的email和password,进行验证,验证请求有效。
我的问题是:我的WCF应用程序可以有一个属性来做与API相同的工作吗?
浏览 0提问于2016-08-25得票数 1
2回答
我有一个Web项目和一个ASP.NET Api项目(独立的项目)。对数据库的访问完全通过Web Api实现(包括授权和认证)。Web是一个客户端,ASP.NET Api是一个服务器。
那么,如何在ASP.NET MVC项目中(在客户端)正确实现授权和身份验证呢?我读了很多关于Web是如何实现的(通过令牌),但是我不能理解如何在ASP.NET MVC中正确地使用这个令牌。
实现每个请求的wrap?我也不知道如何在ASP.NET MVC中定义用户角色。也许有一些方法可以重写Web授权的标准方法来使用Web令牌?ASP.NET MVC客户端上的Authorize属性可以工作吗?如果可能,请提供这样一
浏览 3提问于2018-05-27得票数 2
出于客户的原因,我的web应用程序使用简单的API (如bool authenticate(string username, string password) ),根据专有的用户数据库对用户进行身份验证。
如果用户更改密码或帐户关闭等,我将需要定期(比如每半个小时)根据用户数据库重新验证身份,但我显然不想每半小时问一次用户的密码。
我正在使用ASP.NET核心cookie身份验证。在声明中存储纯文本密码是否合理,以便在需要重新身份验证时将其取回?当然,声明是由asp.net签名和加密的,并且只有在安全的信道上才能传输。
在我看来,与攻击者拦截原始登录请求或干扰用户密码管理器的风险相比,与此方法
浏览 0提问于2020-06-23得票数 1
3回答
多个服务的一个JWT令牌
、、、、
我面临着ASP.Net核心中JWT身份验证的问题。情况如下:
我有一个ASP.NET Core,让我们称它为‘API’。对于提供正确登录/密码的用户来说,生成JWT令牌是合理的,而令牌是生成的。
我有第二个ASP.NET Core,名为‘Api’,它从数据库返回一些数据。我希望能够使用由'API A‘生成的JWT令牌来授权从'API B’访问数据。
是否可以通过使用JwtBarear身份验证来实现?
谢谢你的建议!
浏览 0提问于2018-03-30得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
