无用户的Graph api请求令牌 - 腾讯云开发者社区

文章/答案/技术大牛

发布

【ICML23】无消息传递的Graph Transformers

图归纳偏差对于Graph Transformers至关重要，之前的工作通过使用信息传递模块和/或位置编码来加入这些偏差。...然而，使用信息传递的Graph Transformers继承了信息传递的已知问题，并且与在其他领域中使用的Transformers显著不同，这使得研究进展的迁移变得更加困难。...另一方面，没有使用信息传递的Graph Transformers在较小的数据集上的表现通常较差，在这种情况下，归纳偏差更为重要。...为了弥合这个鸿沟，我们提出了Graph Inductive bias Transformer（GRIT）—一种新的Graph Transformer，它在不使用信息传递的情况下融合了图归纳偏差。...GRIT在各种图数据集中实现了最新的实证性能，这显示了不使用信息传递的Graph Transformers所能够带来的强大能力。

3002 0

JSON Web 令牌（JWT）是如何保护 API 的

保护HTTP API的困难在于请求是无状态的 —— API 无法知道是否有两个请求来自同一用户。那么，为什么不要求用户在每次调用 API 时提供其 ID 和密码呢？仅因为那将是可怕的用户体验。...认证过程因此，现在您对令牌的创建方式有了一个很好的了解。您如何使用它来验证您的API？登录用户登录时会生成令牌，令牌会与用户模型一起存储在数据库中。...现在，客户端有了令牌，他们可以将其附加到任何将来的请求以身份验证用户。...当服务器收到带有授权令牌的请求时，将发生以下情况： 1.它解码令牌并从有效载荷中提取ID。 2.它使用此ID在数据库中查找用户。 3.它将请求令牌与用户模型中存储的令牌进行比较。...，只需删除附加到用户模型的令牌，现在令牌将不再起作用。

3.4K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

REST API 的安全认证，从 OAuth 2.0 到 JWT 令牌

我们今天要讲的主要方法（或标准）有： Basic 认证 OAuth 2.0 OAuth 2.0 + JWT 为了让我们的讨论更加具体，假设我们的后端程序有微服务，并且每个用户请求时，必须调用后端的几个服务来返回请求的数据...现在假设每秒有 3k 个请求，在 Facebook 的系统中每秒 300k 请求更现实。将这请求乘以四，结果是每秒要向服务器发出 12k 次调用。 ?...OAuth 2.0 看起来像：用户名 + 密码 + 访问令牌 + 过期令牌工作原理： OAuth 2.0 标准的核心思想是，用户使用用户名和密码登录系统后，客户端（用户访问系统的设备）会收到一对令牌...访问令牌用于访问系统中的所有服务。到期后，系统使用刷新令牌生成一对新的令牌。所以，如果用户每天都进入系统，令牌也会每天更新，不需要每次都用用户名和密码登录系统。...刷新令牌也有它的过期时间（虽然它比访问令牌长得多），如果一个用户一年没有进入系统，那么很可能会被要求再次输入用户名和密码。

3.9K3 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...更严重的是，部分应用请求offline_access权限，可无限期刷新令牌，实现长达数月甚至数年的隐蔽驻留。现有研究多聚焦于凭据钓鱼或会话劫持，对OAuth同意滥用这一“授权层”攻击缺乏系统性分析。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...2.4 攻击隐蔽性与影响绕过MFA：因使用刷新令牌，无需再次认证；规避EDR/邮件网关：无恶意附件或可疑URL；供应链渗透：若受害者为供应商员工，可进一步攻击其客户；勒索前置：批量下载敏感邮件与文件，为后续勒索提供素材

2371 0

慕课网Flask构建可扩展的RESTful API-5. Token与HTTPBasic验证 —— 用令牌来管理用户

Token具有有效期 Token可以标示用户身份，如存储用户id 2.获取Token令牌密码校验--models/user.py @staticmethod def verify(email, password...我们不可能让任何一个用户都来访问我们获取用户资料的接口，必须对这个加以控制，也就是说只有确定了身份的用户可以访问我们的接口。...当用户访问问的接口的时候，我们需要获取他传来的token并进行解析验证，只有token是合法的且没有过期，我们才允许访问。...其中一种就是HTTPBasic HTTPBasic：需要在HTTP请求的头部设置一个固定的键值对key=Authorization,value=basic base64(account:psd) 2.以...@api.route('/secret', methods=['POST']) def get_token_info(): """获取令牌信息""" form = TokenForm().validate_for_api

1.6K5 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

其核心价值在于解耦资源所有者（用户）与客户端应用之间的凭证传递，转而依赖短期有效的访问令牌（Access Token）与长期有效的刷新令牌（Refresh Token）完成资源访问。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...此外，用户面对频繁的授权弹窗易产生“点击疲劳”，对权限请求缺乏审慎评估。这些因素共同构成了高级OAuth钓鱼的温床。...由于应用名称与图标可自定义，且权限描述使用通用术语（如“读取您的邮件以提供服务”），用户极易误判为合法请求。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers

2811 0

前端API请求的各种骚操作

一、前言 API请求的控制一直以来都是前端领域的热点问题，市面上已经有很多优秀的开源项目可供使用。本文本着授人以渔的精神，抛开所有的工具函数，介绍各种场景下如何用最朴素的代码解决实际问题。...三、节流控制传统的节流是控制请求发送的时机，而本文的提到的节流是通过发布订阅的设计模式，复用请求的结果，适用于在短时间内发送多个相同请求的场景。...如果想实现真正的取消请求，就要用到 AbortController API，示例代码如下： const controller = new AbortController(); const signal...四、淘汰请求像搜索框这种场景，需要在用户边输入的时候边提示搜索建议，这就需要短时间内发送多个请求，而且前面发出的请求结果不能覆盖后面的（网络阻塞可能导致先发出的请求后返回）。...五、总结本文列举了前端处理API请求时的几个特殊场景，包括并发控制、节流、取消和淘汰，并根据每个场景的特点总结出了解决方式，在保证数据有效性的同时提升了性能。

1K3 0

API 网关的设计：异步化请求

对于内部系统使用的网关层，如果对于吞吐量的要求并不高，一般同步请求调用即可。对于统一的网关层，如何用少量的机器接入更多的服务，这就需要用异步来实现，用来提高更多的吞吐量。...对于异步化，一般有以下两种策略： Tomcat/Jetty + NIO + Servlet3 这种策略使用的比较普遍，京东、有赞、Zuul，选取的都是这个策略，这种策略比较使用于 HTTP 的场景，在...Netty + NIO Netty 是为高并发而生的。...传闻唯品会的网关就是使用的这个策略，在唯品会的技术文章中，在相同的情况下，Netty 是每秒30w+的吞吐量，Tomcat 是13w+，看得出来是有一定差距的，但是 Netty 需要自己处理 HTTP...综上，对于网关是 HTTP 请求场景比较多的情况，可以采用 Servlet，毕竟有更加成熟的开发体系；如果更加重视吞吐量，那么可以考虑采用 Netty。

1.8K2 0

请求阿里百川的API

简单封装了一下，请求阿里百川的api。只是做了一个简单的get请求封装，要更加优雅可以自己再封装一下。可以简单的学习一下Flutter的网络请求用法。...文件tb_api.dart代码如下： import 'dart:convert'; import 'package:convert/convert.dart'; import 'package:crypto...as http; // 阿里百川 const AlibcAppKey = ""; const AlibcAppSecret = ""; const AlibcApiUrl = "http://gw.api.taobao.com...return { "num_iids": '534014773552', "fields": "cid,title,nick,price,num,pic_url" }; } // 最终的请求参数...', '/router/rest', params); // print('请求的url: ${uri}'); final headers = { "Content-Type": "application

2K4 0

api特殊化请求的设计

前言在我们的业务请求中，有很多时候会针对有不同时长的需求策略性设置。这里针对这个需求进行详细的展开。...我们之前设置的请求时长是十秒，并且是通过create的部分，整个项目只有一个instance的。...，我建议针对长时长的地址单独一个文件维护，考虑到了以下两点： 1 请求地址变多时，可以更好的定位以及维护 2 需要时，可以针对不同的微服务进行进一步的管理和配置 3 与下面请求时长的策略部分进行解耦主要结果是返回一个期望长时长地址的数组.../** * @author robin * @description maintain all long time api request paths */ /** * 用户服务长时长地址数组...策略模式处理当然如果你的长时长的api地址具有一定的正则可匹配性，也可以用正则来写，并且把判断的部分用策略模式独立为一个方法，甚至一个文件。

7863 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

关键创新在于其“无感中继”能力：所有用户输入（包括MFA验证码）均被同步转发至真实IdP，而IdP返回的响应（含Set-Cookie头、Location重定向、OAuth授权码）亦被代理捕获并传递给受害者浏览器...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等，完全绕过前端UI与MFA提示。...VoidProxy的成功暴露了以下根本性问题：MFA验证与会话绑定脱节：MFA仅在认证时刻验证用户身份，但生成的会话令牌本身不绑定设备、IP或浏览器上下文。一旦令牌泄露，任何持有者均可冒充合法用户。...（三）浏览器内令牌绑定（DPoP）推动SaaS供应商支持OAuth 2.0 DPoP规范。DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。

2371 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

该机制极大提升了用户体验，但也引入了新的攻击面：若用户被诱导授权一个恶意应用，攻击者即可绕过所有基于密码和MFA的验证环节，直接通过合法API接口操作账户。...、redirect_uri、scope等参数；用户输入凭证并完成MFA；显示OAuth同意页面：列出所请求的权限（如“读取你的邮件”）；用户点击“同意”：Microsoft颁发授权码；第三方应用用授权码换取访问令牌...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...关键点在于：MFA仅在第3步验证用户身份，而第5步的“同意”操作本身无二次验证。一旦用户授权，即使账户启用了MFA，攻击者仍可通过令牌直接访问资源。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2441 0

api网关怎么转发http请求 api网关模式的优点

是因为微服务应用都是一种分布式的服务架构，此他们之间必须使用进程通讯机制。api网关怎么转发http请求？ api网关怎么转发http请求 api网关怎么转发http请求，可以参考如下内容。...由于api网关的主要作用是进行服务器前端和后端的交互信息的验证和访问控制，因此所有的数据请求都是通过api网关来进行的。...当访问者和客户通过某一个客户入口来发送api访问请求的时候，api网关会进行及时的验证和处理，同时再转发HTTP请求到后台的服务器，得到反馈之后会直接反馈回访问者，并且开放访问权限。...api网关模式的优点 api网关怎么转发http请求已经有了答案，下面再来看一看api网关模式的优点。...无论是给客户端还是给服务端，都可以带来很大的便利。方便服务端的管理和运营也方便客户的访问体验。以上就是api网关怎么转发http请求的相关内容。

3.1K3 0

SharpImpersonation：一款基于令牌和Shellcode注入的用户模拟工具

关于SharpImpersonation SharpImpersonation是一款功能强大的用户模拟工具，该工具基于令牌机制和Shellcode注入技术实现其功能，可以帮助广大研究人员更好地对组织内部的网络环境和系统安全进行分析和测试...功能介绍 1、使用list参数枚举本地系统中的所有用户； 2、以非提权上下文枚举本地系统中的所有用户； 3、自动提权为“SYSTEM”； 4、搜索目标用户名的第一个进程，将其进程ID作为目标； 5、支持从...SharpImpersonation.exe list 枚举提权进程 PS > PS C:\temp> SharpImpersonation.exe list elevated （向右滑动，查看更多）模拟目标用户的第一个进程并执行新的代码...PS > PS C:\temp> SharpImpersonation.exe user: binary: （向右滑动，查看更多）向目标用户的第一个进程注入...: （向右滑动，查看更多）通过ImpersonateLoggedOnuser模拟当前会话的目标用户 PS > PS C:\temp> SharpImpersonation.exe user

5321 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

Token），实现“无密码接管”。...关键就在这里：用户以为自己是在“验证自己的设备”，实际上是在为攻击者的恶意应用授权。“设备代码流程本意是方便智能电视、打印机等无浏览器设备登录云服务。”...更危险的是，一旦获得 Refresh Token，攻击者可长期维持访问，即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。..."❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近10封邮件...原因很简单：MFA 验证的是“用户身份”，而非“授权对象”。当用户在微软官网完成 MFA 验证后，系统认为“这是本人操作”，于是放心地将权限授予请求的应用。

2781 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

为支持无浏览器设备（如智能电视、IoT终端）或受限环境下的身份认证，微软在其Azure AD中实现了OAuth 2.0设备授权流程（RFC 8628）。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...例如：阻止从非托管设备或异常地理位置发起的设备代码授权；要求所有OAuth令牌请求必须来自合规设备；对包含敏感权限（如Mail.ReadWrite）的令牌请求强制二次审批。

1911 0

智能体API的轻量级授权实验：基于令牌的实用PoC指南

实用的智能体风格授权：一个实验性的PoC与指南作者：Aniket Hingane阅读时间：15分钟 · 6天前1分享这是一次关于为智能体驱动的API构建最小授权层的实践探索——记录了我的实验过程和概念验证...点击或回车查看全尺寸图片TL;DR根据我实验基于智能体的API的经验，最困难的部分并非模型调用，而是设计一个紧凑、可审计且可测试的授权层，并能与智能体工作流干净地集成。...在本文中，我将引导您完成一个轻量级的概念验证：一个基于FastAPI的小型服务，它实施了基于令牌、感知作用域和属性的授权。文章附带了测试、部署说明以及实用的加固步骤。...目标不是提供生产就绪的软件，而是记录一个可复现的实验路径，以便您能快速验证集成假设。您将获得：深入的设计原理、控制流、分模块的带注释代码、单元测试和集成测试示例，以及一步步的设置和运行指南。...为何重要：像这样的实验能揭示出真正的权衡（如密钥管理、可审计性、策略复杂性），这些因素将决定一个方案能否被加固以投入生产。

721 0

Kubernetes API Server认证管理的基本流程以及配置基于令牌的认证机制

图片Kubernetes API Server认证管理的基本流程如下：用户或客户端通过kubectl等工具向Kubernetes集群的API Server发送请求。...API Server接收到请求后，首先进行身份验证，以确认请求的发送者是否具有合法的身份。API Server会检查请求的头部，包括Bearer Token、Auth Token或用户名和密码等。...如果请求头部包含用户名和密码，API Server会将用户名和密码与存储在集群中的用户凭据进行比对。如果身份验证成功，API Server会授权请求，以确保发送者有权限执行请求的操作。...在Kubernetes中配置API Server以支持基于令牌的认证机制可以按照以下步骤进行操作：1....创建一个持有有效令牌的文件，例如token.csv，该文件包含了以逗号分隔的用户名、用户UID和令牌。

1.2K12 1

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

攻击者通过伪造合法服务（如Cloudflare验证页或微软账户修复向导），引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮，实则触发OAuth授权请求，将访问令牌（access...攻击目标不再是静态密码，而是动态的、具有时效性的授权令牌；攻击载体不再是可执行文件，而是合法云服务的API接口。这一变化对企业的安全边界提出了全新挑战。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（三）规避检测的关键设计ConsentFix之所以难以被发现，源于其多重规避特性：无密码交互：不触发密码爆破、撞库或凭证填充告警；合法IdP流量：所有OAuth请求均经由微软官方端点，无法通过IP或域名黑名单拦截...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1881 0

Fetch API速查表：9个最常见的API请求

在本文中，我将列出 9 个最常见的 Fetch API 请求，在你忘记 API 的时候可以翻出来查看。我相信你已经用过它们很多次了。...但是，如果能避免在旧项目中寻找半年前使用过的特定请求的语法，岂不更好？为什么要使用 Fetch API？...如今，我们被所有提供漂亮的 SDK 的服务宠坏了，这些 SDK 将实际的 API 请求抽象化，我们只需要使用典型的语言结构来请求数据，而不关心实际的数据交换。...请求 fetch("{url}", { method: "post", }).then((response) => console.log(response)); 在 Fetch API 中使用授权令牌...请求的结果 Fetch API 返回一个 Promise。

1.8K2 0

点击加载更多

【ICML23】无消息传递的Graph Transformers

JSON Web 令牌（JWT）是如何保护 API 的

REST API 的安全认证，从 OAuth 2.0 到 JWT 令牌

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

慕课网Flask构建可扩展的RESTful API-5. Token与HTTPBasic验证 —— 用令牌来管理用户

高级OAuth钓鱼攻击的演化机制与防御体系构建

前端API请求的各种骚操作

API 网关的设计：异步化请求

请求阿里百川的API

api特殊化请求的设计

VoidProxy平台对多因素认证的绕过机制与防御对策研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

api网关怎么转发http请求 api网关模式的优点

SharpImpersonation：一款基于令牌和Shellcode注入的用户模拟工具

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

智能体API的轻量级授权实验：基于令牌的实用PoC指南

Kubernetes API Server认证管理的基本流程以及配置基于令牌的认证机制

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

Fetch API速查表：9个最常见的API请求

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐