1回答
我不想存储用户的用户名/密码或API密钥/密码,以避免在我自己的托管数据库中存储这些有价值的凭据的安全问题。我的想法是在本地存储API令牌,例如在本地存储中加密或使用它们的指纹,然后在每次需要操作时将其传递给API调用(通过HTTPS)。服务器端API将使用令牌,但不存储任何内容。我觉得这更安全,因为密钥/秘密永远不会离开客户端,只有令牌通过加密通道传递。在数据泄露的情况下,它将是每个设备,而不是所有凭据的整个数据库。 我非常渴望听到社区的想法。
浏览 12提问于2019-04-09得票数 0
1回答
用户单击该按钮,将重定向到Microsoft/Company身份验证页。
API检查签名,然后验证一些JWT令牌声明(例如aud、iss、exp等)。我已经读过关于state和nonce参数的文章,这些参数最初被发送到Azure以增加安全性,但我对两者的
浏览 4提问于2020-10-01得票数 1
回答已采纳
该方法返回安全令牌,这使我能够调用另一个方法,即我应该将安全令牌作为第一个参数传递给服务方法。因此,我希望在使用LDAP成功登录后立即获取这些安全令牌,并将它们存储在SecurityContext中。我尝试使用表单登录元素的身份验证-成功处理程序-引用。使用该处理程序,我将SecurityContext中的身份验证对象替换为不仅保存密码而且保存安全令牌的自定义Authenticat
浏览 4提问于2010-07-20得票数 10
回答已采纳
2回答
我必须以安全的方式将身份验证令牌从我的网站传递到我的iframe。我的iframe位于与我的网站相同的领域。在你的回答中,也请描述一下用我的方法可以偷走auth_token的方式。
浏览 1提问于2016-04-08得票数 6
出于某种原因,我希望使用返回的facebook访问令牌进行身份验证,并保留用户名-密码验证器。详细情况下,我将检查用户facebook访问令牌以进行身份验证,由以下人员返回:SpringSecurity支持这种身份验证吗?如果答案是肯定的,我想知道怎么做?
浏览 1提问于2011-06-20得票数 4
回答已采纳
1回答
可以是CLR标记为零或负
、、、、
一些.NET反射方法(例如,)接受所谓的令牌作为参数。这些记号只是Int32数。我在反汇编程序中只看到正数,但一般说来,整数也可以是负数或零。假定CLR令牌仅为正,安全吗?
浏览 2提问于2014-02-20得票数 3
回答已采纳
我是Security的新手,我正在尝试实现一个用于身份验证的自定义UserDetailsService。困扰我的是,这个接口只包含一个方法loadUserByUsername(String username),它只接受用户名作为参数,并返回一个UserDetails。我想知道为什么这个方法不接受任何密码作为参数。我是Spring安全方面的新手,欢迎对Spring安全</e
浏览 1提问于2014-10-10得票数 4
回答已采纳
1回答
我们选择了授权代码流作为此实现的机制(而不是PKCE,因为我们希望SPA使用的访问令牌而不是授权提供者的访问令牌)。我们提供一个随机生成的状态令牌作为请求参数,以防止CSRF攻击。在IdP的身份验证页面上,用户提交他们的凭据,如果成功,用户将被重定向回我们的网站( SPA),状态令牌和代码作为url参数。该API接受此代码和我们的客户端机密,并将它们交换为身份提供者获取的身份(不考虑访问令牌
浏览 9提问于2022-05-27得票数 1
回答已采纳
我正在开发一个Ionic 2应用程序,它通过Microsoft对用户进行身份验证。找出如何使用ADAL实现以下流程时遇到困难:
"authContext.acquireTokenSilentAsync()“只能接受用户名,而不能接受密码.那么,假设此方法不用于登录目的是安全的<
浏览 2提问于2017-05-04得票数 0
我正在使用vertx生成带有客户端凭据的OAuth2令牌,下面是代码片段<version>3.9.1</versiontoken); }Future{cause=io/vertx/ext/jwt/NoSuchKeyIdException} 错误:访问令牌错误
浏览 12提问于2020-06-30得票数 1
1回答
问题是,作为此应用程序的新项目,我需要为经过身份验证的用户添加几个rest服务。目前,安全是由Sf2 (doctrine2用户提供商)处理的。非常标准的东西。然后,在将提供rest响应(json)的新控制器上,添加此令牌作为参数,还添加一个将接受user/password并返回新令牌的令牌。
这是我的想法,但也许有一种更好的方法,更标准或某种类型的提供商。
浏览 0提问于2013-05-08得票数 0
回答已采纳
当客户端成功登录到应用程序的其他部分时,他将获得x-auth令牌。它稍后作为头被传递,并且可以工作。
然后websocket客户端将此令牌作为查询参数发送到服务。我们希望通过websocket连接中的查询param使Security和Spring会话接受令牌。有我可以设置的参数吗?还是需要编写自定义身份验证提供程序。
浏览 2提问于2015-05-28得票数 1
Web应用程序A使用基本身份验证,它在CustomBootstrapper.cs中设置如下: container.Resolve<IUserValidator>(),在查询用户的用户名和密码之后,Web调用身份验证REST来验证凭据并返回一个安全令牌按惯例,Web中有不同的模块,它们调用
浏览 3提问于2019-12-31得票数 1
回答已采纳
存储、传输和存储JWT令牌或一般身份验证令牌的最安全方法是什么?有人告诉我,将身份验证令牌作为cookie发送是安全的,但我不明白这将如何提供任何额外的安全性,只需使用普通的会话ID cookie进行身份验证,因为浏览器将包括所有传出请求的cookie。我有误解什么吗?
对我来说更有意义的是,如果令牌将存储在响应头或响应主体中,然后以编程方式提取到客户端,并手动添加到每个请求中。无
浏览 0提问于2016-07-20得票数 12
1回答
使用OAuth实现社交登录是不安全的(https://www.rfc-editor.org/rfc/rfc6819#section-4.4.2.6),因为OAuth不提供身份验证,只提供授权。出现此问题是因为本地应用程序错误地认为,由于某个访问令牌返回ID信息,具有该ID的用户已由OAuth提供程序进行身份验证,因此可以在本地应用程序中作为相应的用户进行身份验证。与上述不同,OIDC执行身份验证并返回ID令牌,本
浏览 0提问于2020-05-10得票数 1
回答已采纳
我正试图找到一种最简单的方法来为许多ASP.NET MVC操作实现基于令牌的身份验证。我读过几篇关于实现OAuth的文章,但大多数文章看起来都很复杂。我看过几个使用API键的例子,但是我想请求一个令牌,然后将它作为参数传递回来,而不一
浏览 5提问于2012-12-07得票数 0
我有一个催化剂控制器,它以通常的方式(/endpoint/foo/bar)响应参数,但也使用一个查询参数作为安全令牌。在启动对该控制器的forward调用之前,如何设置参数的值?(不可能重写控制器来接受令牌作为参数而不是参数。)
浏览 2提问于2019-11-19得票数 2
回答已采纳
1回答
基本上,服务器使用单个路由公开HTTP端点,接受返回JSON结果的POST请求,该结果由移动应用程序使用。我的假设是正确的吗?我已经使用包含正确安全参数的开放API规范部署了这两个应用程序,但是,没有任何承载令牌,所有请求都被接受。
参考文档:
浏览 8提问于2018-07-21得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
