清楚地实现带有令牌的请求的最好方法是什么?
清楚地实现带有令牌的请求的最好方法是使用OAuth 2.0协议。OAuth 2.0是一种开放标准的授权协议,用于授权第三方应用访问用户资源的权限。它通过令牌的方式来实现请求的授权和认证。
在OAuth 2.0中,有三个主要角色:资源所有者(用户)、客户端(第三方应用)和授权服务器。以下是OAuth 2.0的工作流程:
- 客户端向授权服务器请求访问令牌(Access Token)。
- 资源所有者通过授权服务器进行身份验证,并授权客户端访问特定资源。
- 授权服务器颁发访问令牌给客户端。
- 客户端使用访问令牌向资源服务器请求受保护的资源。
- 资源服务器验证令牌的有效性,并根据权限决定是否提供资源。
OAuth 2.0的优势包括:
- 安全性:OAuth 2.0使用令牌进行授权,而不是直接使用用户名和密码,提高了安全性。
- 可扩展性:OAuth 2.0支持多种授权流程,适用于不同的应用场景和需求。
- 用户友好性:用户可以选择授权给特定的客户端,而无需提供敏感的登录凭据。
在云计算领域,OAuth 2.0广泛应用于各种场景,例如:
- 第三方登录:用户可以使用自己的社交媒体账号(如微信、QQ)登录到其他网站或应用。
- API访问授权:开发者可以通过OAuth 2.0授权用户访问其API,实现数据的安全共享。
- 单点登录(SSO):用户只需登录一次,即可访问多个关联的应用和服务。
腾讯云提供了一系列与OAuth 2.0相关的产品和服务,例如:
- 腾讯云API网关:提供了OAuth 2.0的授权服务,可用于保护和管理API的访问权限。 链接:https://cloud.tencent.com/product/apigateway
- 腾讯云身份认证服务(CAM):提供了基于OAuth 2.0的身份认证和访问控制服务,可用于管理用户和资源的权限。 链接:https://cloud.tencent.com/product/cam
通过使用OAuth 2.0,可以实现安全、可扩展的带有令牌的请求,保护用户的数据和资源。
相关·内容
我想上传文件到服务器使用CLR与安全令牌在头部和嵌入ASP.NET对象在HTTPRequestMessage中。
我可以找到使用带有多部分内容类型的Web API异步的POST文件的解决方案,但没有解决方案来使用自定义HTTP请求消息和标题令牌进行上传...
我正在使用下面的代码
public HttpResponseMessage UploadImportFile()
{
List<string> FileIdentifiers = new List<string>();
// Check if the request
浏览 2提问于2014-08-22得票数 0
我读过这和这,我看不出如何把它应用到我的情况中,所以我问了另一个问题。
未登录用户访问带有表单的页面。
用户打开一个新选项卡并登录。
用户切换回他们的第一个选项卡并尝试提交表单。
获取过时的错误。
一旦登录,我如何接受匿名表单提交?
在我的应用程序中,很可能用户在登录之前在不同的选项卡中打开了相当多的页面。
浏览 0提问于2018-08-03得票数 0
1回答
绕过自定义登录页
、、、、
我正在演示一个网络应用程序,并希望使我的演示流程更干净一点。
现在,当一个人点击一个页面,他们会被重定向到这个网页的登录。我想取消登录页面,这是我的演示。
让我们以为例。
我想添加一个链接到我的网页,将在后台,登录我作为BT ID "User1“密码"securityDoesntMatterForDemos”。这一切都可以硬编码。用户只应看到该网页将其导航到该用户的成员区域(在此页面上接受登录后将生成任何页面)。
安全可靠地完成这一任务的最佳方法是什么?
浏览 2提问于2014-08-26得票数 0
回答已采纳
我试图在solana块链上注册我的令牌,但是当我到达GITHUB (令牌-列表)时,我发现它已经被存档了,所以我无法请求将我的文件添加到存储库中。
如果有人知道如何解决这个问题,请协助
浏览 1提问于2022-07-11得票数 0
1回答
我在OAuth SPA中使用资源所有者密码凭据AngularJS 2.0流。有几篇文章(,.)的答案是,我们不应该在(web)客户端(LocalStorage)上存储刷新令牌,而是将它们存储在HttpOnly Cookie中,并使用代理API实现refreh令牌的解密,从而将其转发到安全令牌服务。
大多数文章都暗示我们应该通过使用一种常见的保护机制来关心CSRF。我想知道在一个页面应用程序中什么是最好的解决方案。
角引用解释了我们应该如何对抗CSRF的默认机制:服务器必须设置一个名为XSRF-TOKEN的cookie。此cookie必须具有Javascript可读性,以便我们可以在请求中设置X
浏览 6提问于2015-06-03得票数 9
2回答
我正在构建一个使用的react本地应用程序。我使用授权代码流来授权用户。首先,我获得了一个授权代码,它可以用于获取访问令牌和刷新令牌。一切正常!
问题是:访问令牌只在有限的时间内有效。这就是刷新令牌的位置。我理解这个概念,但我正在绞尽脑汁地思考如何实现这个概念。
假设用户打开应用程序,请求访问令牌并使用此令牌一段时间。然后,用户关闭应用程序。15分钟后,用户再次打开该应用程序。访问令牌现在已经过期,所以我需要请求一个新的访问令牌。
我提出了几个“解决方案”。有人能帮我找到正确的解决方案吗?
解决方案1:每次用户打开应用程序时,我都会请求一个新的访问令牌并使用它。问题:当用户使用该应用程序的时间
浏览 6提问于2020-05-18得票数 0
3回答
我看过一些视频教程,例如Laravel。用户在数据库中有一个API令牌,用于url中的每个请求。
例如: www.domain.nl/api/user/1/edit?token=)#(UJRFe0wur0fMjewFJ
即使要更新、删除或添加,这也是一种安全的方法吗?
有人能拦截令牌吗?
最好的办法是什么?
我希望有人能帮我,谢谢!
浏览 4提问于2016-07-12得票数 1
回答已采纳
2回答
对于非基于PHP的web客户端(JSON),使用Laravel控制器;在Laravel中使用CSRF令牌来保护web请求的潜在替代方案是什么?
浏览 0提问于2016-10-28得票数 0
回答已采纳
1回答
我正在使用/user/logout创建一个路由dusterio/lumen-passport,在控制器操作中,我手动撤销导致用户注销的令牌。
我有两个选项来注销一个用户。撤销令牌(它将令牌保存在数据库中--只需设置一个标志,说明令牌是无用的)并删除令牌。
我的问题很简单:
管理令牌的最佳方法是什么?我应该删除还是撤销?
将来,我将使用redis来存储令牌,所以我想我应该删除这些令牌,因为在redis服务器中保存过期的数据是没有意义的。
浏览 4提问于2017-12-07得票数 18
我使用带有Oauth2实现的Jhipster和mongodb作为数据库。Jhipster有自己的Tokenstore实现,用于管理访问和刷新令牌。
我将令牌过期时间设置为30秒,只是为了测试,我观察到的是,如果我在30秒后调用刷新令牌api,它将返回错误:
{ "error":"server_error","error_description":“给定实体不能为空!”}
这里的问题可能是什么?刷新令牌是否也在30秒后过期?
浏览 0提问于2015-09-03得票数 0
让我们假设攻击者能够将JavaScript注入网站。显然,他可以执行任何HTTP请求,以模拟用户操作,除非有一些确认,如SMS代码需要用户直接交互(即使在这种情况下,恶意JavaScript也可能欺骗用户)。所以,我想,这个攻击媒介是无法合理防御的。但是,如果攻击者窃取会话,他可以冒充用户并几乎做任何事情。所以我在考虑如何保护这个向量。当然,服务器可以检查IP地址等,但这并不总是可能的。
第一件事:将会话存储在只使用HTTP的cookie中。JavaScript不能偷它。到目前一切尚好。但是还有另一个缺点:第三方网站可以从我的服务器制作带有动作的表单标签,并使用用户cookie提交此表单。我们
浏览 0提问于2017-09-27得票数 1
1回答
在我的应用程序的最初实现中,我通过密码流使用OpenIddict的~/connect/token操作来验证用户的用户名和密码。当用户名和密码正确时,用户将按照OAuth2规范接收带有其作用域等的令牌。
现在,我正在向我的应用程序(OTP)介绍一次性PIN。如果用户注册了该应用程序,但希望跳过OTP验证,他们应该能够。但这样做,他们将不会收到他们的范围的完整列表-他们只会得到基本的范围,直到他们验证他们的帐户。这是因为用户可以为管理权限或其他东西设定作用域,但在我们确认他们的电子邮件地址是合法的之前,不应该接收该范围。未经验证的客户端仍然应该能够在一定程度上使用该应用程序,只是不能使用他们的正常
浏览 0提问于2021-02-08得票数 0
我通过邮递员点击HTTP从一个网站获取一些数据。它对我来说很好,但是从最近几天开始,它给了我一个错误。
无效csrf令牌403
因此,当我检查的开发工具的色度,我转到网站的网络选项卡,并检查API。
因此,现在站点还在标头字段中发送CSRF-令牌。
因此,我知道可以生成csrf令牌的API。
我还从API获得令牌,并像在原始站点中所做的那样发送带有标头的令牌。
但是我想知道为什么每次API返回时无效csrf令牌
是否可以通过邮递员发送CSRF令牌。因为据我所知,csrf令牌用于停止伪造请求。站点有一个带有csrf令牌隐藏字段的表单,当表单提交时,浏览器从该隐藏字段获取令牌,并像
浏览 3提问于2018-07-25得票数 6
1回答
我正在开发一个带有社交网络登录支持的android应用程序。现在,我面临着一个问题,就是登录和登录到Facebook。在我们的服务器上,我们存储我们使用的每个社交网络的访问令牌。我想做的是:
用户有一个带有Google登录和Facebook帐户链接的帐户。
用户注销=他从Facebook和Google中注销
用户在Google的后面登录
他收到关于facebook令牌的信息
他会自动登录Facebook
我试过查看LoginManager类,但是找不到任何使用访问令牌登录的方法。
我还注意到有一种方法可以将访问令牌设置为AccessToken对象。但我需要澄清一下如
浏览 3提问于2017-10-25得票数 4
回答已采纳
1回答
我创建了这个函数:
function blacklisted_ip() {
$('form').remove();
$('.wrapper').removeClass('form-success');
$(".login_text").html("Your IP has been blacklisted");
}
这将删除一个HTML表单-我删除该表单是为了阻止具有黑名单IP的用户登录。
我在同一页的顶部有一个php脚本,它在表单发布时处理登录。
有没有办法阻止其他页面发布到这个页面?
ph
浏览 2提问于2016-07-13得票数 0
1回答
我正在制作我的第一个node + express应用程序,我使用的是一个npm模块,它调用外部api。
我有一个带有表单的登录页面,用户在其中输入凭据,然后通过post (ajax客户端,app.post服务器端)传递凭证,并用于进行初始api调用(使用npm模块),该调用返回一个auth令牌。所有后续api调用(使用npm模块)都是使用该令牌进行的。
我的问题是:(/are)处理该令牌的最佳方法是什么?将其保存在变量/对象中并导出它,然后在我需要令牌的js文件上要求它?使用会话(这可能是避免要求用户重新登录的一个好主意)并将令牌存储在该会话中?
浏览 10提问于2016-12-12得票数 2
1回答
每次请求后会话重置
、、、
我正在构建一个带有角7的前端应用程序。
我已经在角项目中构建了一个纯php中间件。
当角需要向后端发送http请求时,将请求发送到php中间件,php将处理请求级别,然后将请求发送到后端。
问题是,我需要在所有请求级别上保存php会话中的值,但是在每个请求中,会话将被重置,并且从前一个会话中获得的任何值都将被删除。
php中间件是客户端而不是服务器的一部分,因此会话对于此客户端必须是唯一的。
问题是什么,我该怎么做
我没有添加任何代码,因为我在会话中读写通常没有什么特别的
浏览 1提问于2019-10-12得票数 2
回答已采纳
1回答
我正在尝试创建rest,它必须具有身份验证。我想使用带有基本身份验证的https,但是我现在不知道它的速度如何,并且有任何这么简单和更快的身份验证方法吗?
浏览 2提问于2013-08-20得票数 0
回答已采纳
2回答
我让用户点击一个链接,发送到他们的电子邮件,带他们到一个表格(比如说,register.php)来完成他们的注册。
我在register.php中检查了提交的表单:
if(isset($_POST['submitted']) and $_SERVER['REQUEST_METHOD'] == 'POST') {
//register user in database
}
我的问题是:从技术上讲,有人能通过创建一个带有$_ POST‘set’set的定制http POST请求来绕过这个正式的注册过程吗?如果是这样的话,有什么好方法来检查这个
浏览 7提问于2016-04-29得票数 2
回答已采纳
1回答
在浏览器中存储令牌
、、、、
问题=]
根据我的研究,将web令牌存储在本地存储中似乎是比使用cookies更好的方法,以防止CSRF攻击(我知道本地存储容易受到XSS攻击,尽管这些攻击似乎比CSRF更容易预防)。尽管如此,我一直无法找到任何相关的指南,利用当地的存储方式.
我在寻求一些帮助来理解下面的工作方式.
向浏览器本地存储传递服务器签名令牌的首选方法/工作流是什么?
一旦浏览器存储了令牌,我如何使用存储的令牌。
我是否需要通过JS停止表单的默认提交,然后通过每个请求发送带有authorization: Bearer <token>头的AJAX请求?
当用户单击指向该用户拥有的资源的
浏览 2提问于2017-05-19得票数 3
回答已采纳
2回答
我是一个反应本土化的初学者,我正在创建一个应用程序。我已经做了一些关于如何使一个安全的反应本地应用程序的研究,但我没有找到太多的信息。我自己想出了一个“解决方案”,但我想确保这是正确的方法。因此,如果可能的话,我需要一些反应本机/javascript/安全专家的帮助,以快速检查我的方法是否合适?
我在这篇文章中包含了3个问题,但很明显它们是相关的。我把它们写成了黑体字。请随时回答一个或多个问题,谢谢您的每一个回答!
我正在创建一个应用程序的反应本土化。为了让用户能够使用该应用程序,用户应该创建一个帐户并登录。我使用JSON令牌作为访问令牌,授权从应用程序向服务器发出的请求,并标识用户(我将用户
浏览 3提问于2020-05-18得票数 5
我有:
身份服务器4,
带有OpenId连接和混合流的Mvc应用程序
WebApi应用程序
假设用户已经获得了带有id_token和访问令牌的cookie。然后,他从mvc应用程序调用一个动作:
var client = new HttpClient();
client.SetBearerToken(accessToken);
// call webapi from mvc
var content = await client.GetStringAsync("http://localhost:5001/api/resource-with-policy"
浏览 3提问于2019-12-09得票数 2
回答已采纳
我使用Google API PHP Client ()发出OAuth请求--获取一个新的访问令牌。
我已经缓存了刷新令牌,并使用它来生成新的访问令牌。
我正在尝试计算数千个存储桶的存储桶大小使用情况。我正在尝试将该任务并行化以减少时间-我通过为每个存储桶产生一个新的进程,每个进程请求一个新的访问令牌来实现这一点。我这样做是因为我假设对颁发的访问令牌的数量没有限制,而且对于包含大量对象的存储桶,理论上计算时间+潜在的指数回退时间可能会超过访问令牌的生命周期。
但是当我尝试这样做时,我看到了这个错误:
Error No: 1
Error on Line: 242
Error Message: Un
浏览 2提问于2013-05-04得票数 1
回答已采纳
2回答
我正在集成聊天应用程序在我的网站。聊天框是使用javascript库管理的。
交换的消息被持久保存在MySQL数据库中。
在这种情况下,我如何保护我的数据库?通常,为了防止CSRF漏洞,我会在呈现包含文本区域的表单时生成一个CSRF令牌。Symfony2有助于轻松地根据令牌进行验证。但在我的情况下,没有表单就使用了textarea。我可以将我的文本区域包装在一个带有隐藏输入令牌字段的表单中,但我不认为在需要发送新消息时呈现一个新表单(带有新令牌)是合适的。
你能和我分享一下你对这个问题的看法吗?聊天应用有什么防范CSRF攻击的窍门吗?
浏览 2提问于2015-04-06得票数 1
2回答
JWT令牌与CSRF
、、、
我仍然不清楚JWT和CSRF是否合作。我理解JWT的基本原理(它是什么以及它是如何工作的)。我也理解CSRF当与会话一起使用时。类似地,我理解将JWT存储在localStorage中存在风险,这就是您需要csrf令牌的原因。所以我的问题是,我该如何同时使用它们。简单地说,我有一个登录页面。
1)我让用户登录,一旦使用了电子邮件和密码,如果用户经过身份验证,服务器将发送CSRF并将httpOnly cookie存储在JWT中(如何使用PHP设置cookie )。我所理解的是,您可以使用header('Set-Cookie: X-Auth-Token=token_value; Secure
浏览 0提问于2017-11-19得票数 13
如果我有一个使用Azure Active Directory保护的API,那么当外部API想要与我的内部API对话时,流程是什么?
这只是一个API到API调用作为正常,还是这是一个特殊的情况和需要处理不同的方式?
浏览 4提问于2016-04-21得票数 4
回答已采纳
1回答
我想把我的Django前端和后端分开。实际上创建了2个Django服务器。
在前端存储访问令牌和刷新令牌的最佳方法是什么?
在调用API时,验证auth的最佳方法是什么?
谢谢!
浏览 7提问于2022-08-09得票数 1
回答已采纳
我正在尝试创建一个函数,该函数可以应用于数据框架,该数据框架将查询数据框架中每一行的API。
经过几个小时的尝试,在与整个身份验证部分进行了斗争之后,我从API中得到了一个响应。
从API获得响应所需的步骤包括:
向OAuth2.0temp令牌生成端点发送带有客户端id &保密的JSON有效负载
解析响应中的访问令牌
在对数据端点的请求头中包括访问令牌,这需要三个参数(ICN、SFFX和ENG值)才能获得有效的响应。
现在,我正在尝试构建一个包含上述所有步骤的函数,并且可以将/map_df应用于包含API所需的三个输入参数(ICN、SFFX和ENG值)的数据框架。
浏览 3提问于2021-10-29得票数 0
1回答
带有刷新令牌工作流问题的
、、、、
关于使用Java的API刷新令牌工作流,我有一些问题。
,到目前为止,我有以下内容:
用户登录到/ User /login-如果成功,将返回带有2个标头的响应,即授权和刷新。其中包含2个令牌-一个在30分钟内到期,另一个在4小时内过期。
然后,他可以使用授权头访问所有其他端点。
如果在某个访问端点的点上,他的令牌过期了,他就会收到一个错误(未经授权)。
并且必须使用给他的刷新令牌对/ token /refresh进行请求。
问题:
我已经设置了它,所以授权令牌有一个声明: type=auth,而刷新令牌有一个声明: type=refresh。区分这两个标记的最佳方法
浏览 1提问于2018-11-09得票数 10
回答已采纳
1回答
我写了一个控制台ASP.NET应用程序来获取accesstokens。我有clientId,这是我的应用程序的客户端秘密,我执行以下操作:
var authContext =新AuthenticationContext("");var acquireTask =authContext.AcquireTokenAsync(资源,新ClientCredential(clientId,ClientSecret),新Uri(RedirectUri),新PlatformParameters(PromptBehavior.Auto));
这不会返回refreshToken。如何获取刷新令牌
浏览 1提问于2018-12-14得票数 0
1回答
带Oauth的JWT实现
、、、
我想用JWT和oauth创建一个带有角js和REST服务的应用程序。我想知道如何实现刷新令牌,或者如何生成一个为期一周的令牌--例如,我必须做什么?体系结构是: Java、REST、Angular.js和Bootstrap
user send login and password
the server return token
app user token for access to rest api
rest return result
浏览 0提问于2015-12-03得票数 0
回答已采纳
Twitter1.1API需要令牌。我对OAuth的理解是,您需要使用cunsumer密钥、sectret、need等请求身份验证令牌。一旦收到OAuth令牌,您应该能够仅使用该OAuth令牌访问该应用编程接口。
在推特上执行这些步骤时,我得到了如何验证/签名令牌的示例,但我似乎找不到如何通过我的oauth_token访问(例如搜索) API的示例。
执行以下GET请求时:
https://api.twitter.com/1.1/search/tweets.json?q=freebandname
我得到(当然)一个'Bad Authentication data‘响应。
我希望它可以在
浏览 2提问于2013-06-13得票数 7
1回答
我们服务中的标识基于存储在数据库中的令牌。这是客户端通过使用用户名和密码登录获得的。
每次请求资源时,我们都计划验证令牌,并确定用户是否被授权访问该资源。
我们的服务是单独部署的,授权服务器可以通过HTTP访问。
批准请求的最佳做法/通用方法是什么?
具有请求的权限和角色的发送令牌
我正在考虑在令牌验证请求中向授权服务器传递带有角色的令牌,并请求用户的许可。
{
token: 'xyz',
role: 'ROLE_ADMIN',
permission: 'SAVE_USER'
}
并以: 200表示成功,401表示无效令牌,403如果他们没
浏览 2提问于2017-09-29得票数 0
1回答
我有一个后端服务器,用于通过REST进行通信的应用程序,用户身份验证是通过JSON令牌(JWT)处理的--服务器签名的令牌包含用户名
假设用户使用id 5创建了一个订票,并拥有删除它的特权。为此,他将向以下各方发出删除请求:
api.address/reservations/5
这是一个有效的请求。但是,有些人可以尝试删除任何其他保留,只需发送一个delete请求,该请求带有一个带有有效令牌签名的id。
在服务器端验证用户权限的最佳方法是什么?到目前为止,我提出了这三种解决方案,但其中任何一种都感觉不对
每次检查数据库是否有特权(可能需要花费时间)
包含用户令牌中的所有资源权限(令牌可
浏览 2提问于2016-02-26得票数 1
1回答
我有带有spring安全性的spring应用程序,我使用rest服务来访问数据。关于这个我有两个问题。
首先,我不能设置spring安全性来允许我发送POST http请求并向数据库添加一些内容。我试图允许这个请求,但是spring安全仍然拒绝访问。
http.authorizeRequests().antMatchers("/services/rest/registerUser").permitAll();
第二个问题,保障休息服务的最佳做法是什么?我绝对不想让别人通过rest服务将数据发送到数据库。那么,允许在我的应用程序中使用服务并限制所有其他rest请求的最佳方式是什
浏览 2提问于2017-07-28得票数 0
回答已采纳
2回答
我试图通过手动导入我的git存储库来创建一个项目。我遵循了该教程:
最后我得到了这个错误:通过读取gitlab-shell.log文件,我发现对* Failed trying to create xxx (xxx/xxx.git) Errors: {:base=>["Failed to create repository via gitlab-shell"]}的访问被禁止,我得到了以下错误:{"message":"401 Unauthorized"}
有了这个网址:https://xxx/api/v4/internal/check,你
浏览 17提问于2017-07-13得票数 1
我正在尝试使用带有.NET (DotNetOpenAuth)的OAuth通过web应用程序向Twitter帐户发送更新。我了解OAuth和推特的基本工作流程。
如果它在服务器web应用程序中有用,我会感到困惑。我不想要任何用户交互。但在应用程序启动后,需要重新创建请求令牌和访问令牌。这涉及到用户交互。
我的案例的正确工作流程是什么?是否将请求令牌或访问令牌存储在配置文件中?或者是最简单的方式,使用HTTP基本身份验证?
谢谢
浏览 0提问于2010-01-07得票数 0
回答已采纳
3回答
所以我第一次玩的是React和Redux。在我的应用程序中,我使用第三方API来获取数据等等,在这方面一切都很好。然而,与大多数受保护的API一样,我需要获取一个短暂的令牌来针对API发出请求,我希望在某种事件上设置一个定时器,以便在后台刷新我的令牌。做这件事最好的方法是什么?令牌带有到期,因此我可以设置一个计时器,以便在令牌到期前几分钟获取一个新令牌。
浏览 2提问于2016-12-20得票数 2
回答已采纳
根据许多像 one这样的帖子,在一个主体上请求GET并不是很常见。
另一方面,REST中的最佳实践之一是,只有当我们希望对资源进行更改时才使用POST,当我们只想检索资源时才使用POST。
因此,我的问题是,获得具有非常大的有效载荷的资源的首选方法是什么?我是否应该对HTTP最佳实践进行优先排序,并在身体中使用POST,即使我实际上并没有改变任何东西,也没有坚持RESTFUL实践,并在身体中使用GET?
浏览 2提问于2021-06-08得票数 2
回答已采纳
1回答
我正在尝试将一个web应用程序从“传统的”基于cookie的身份验证机制转换为一个纯粹基于令牌的认证机制。一旦客户端接收到令牌,就应该缓存该令牌,以减少开销。存储令牌的最佳方法是什么?
这就是我从googling中学到的:
我研究过的第一个很有希望的方法是浏览器会话存储,但据我所知,即使在各个选项卡之间,这也是不共享的,这意味着如果用户使用一个新的选项卡跟踪站点的链接,他们将不得不再次登录。
也有本地存储,但我希望用户在关闭浏览器时自动被注销,我也对存储中的令牌感到有些不安,尽管我在服务器端过期了。只是看起来不干净。
另一种方法是将令牌存储在会话cookie中,这意味着它既会在浏览器关闭时被杀
浏览 1提问于2014-04-20得票数 6
我有以下控制器:
[HttpPost]
public ActionResult SomeMethod(string foo, obj bar)
{
//Some Logic
}
现在假设从Button或Ajax (带有一些编辑)调用Action,而我不想接收双重请求。
从服务器端中处理它的最佳方法是什么?
更新
首先,您必须定义符合双重请求标准的时间间隔-- Jonesopolis
假设在这种情况下,双请求是当第一次和第二次呼叫之间的时间差小于1s时
浏览 0提问于2016-11-22得票数 3
回答已采纳
我正在使用Flex4(Beta2)和Ruby on Rails 2.3.5,并使用RubyAMF在Flex4和服务器之间来回传输数据。
我在Rails端设置了Authlogic来进行身份验证。
我不确定处理用户会话的最好方法是什么。我知道这是使用Rails自动完成的,通过发送带有cookie的会话id,Rails使用cookie对用户进行身份验证。
你建议用Flex做这件事的最佳方式是什么?
我想了几个选择:
手动从浏览器获取cookie,然后想出一种方法,将它与我发送的每个请求一起发送到服务器。通过手动使会话过期,在Flex端处理会话过期和流
你还有其他的建议或建议吗?
谢谢,
Tam
浏览 2提问于2010-03-10得票数 1
回答已采纳
NgRx数据初学者
我在我的应用程序模块中实现了NgRx数据。一切都很好,唯一关心的是我在NgRx数据配置模块中使用的api,而不是触发,我在应用程序级别上配置了Auth令牌。
没有配置NgRx的所有其他模块都在正确地调用&在API中正确地设置令牌。
是否授权在NgRx存储中存储令牌,那么只有API才会调用?
只是一个小屁孩。我现在不使用NgRX存储来存储令牌,而是存储在本地存储中。
浏览 4提问于2021-08-13得票数 1
2回答
对于redux的组织API调用,更好的实践/方便的实现是什么?我
我有过
我存储在redux中的API中的一些数据。另外,我从API中将令牌存储在redux数据中,我不需要将这些数据存储在reduxAPI调用中,这些调用需要不需要令牌的令牌 API调用和不需要令牌的API调用,并且不需要在redux<code>f 211</code>中存储响应。
所以主要的问题是。我是否应该对API调用使用操作,即使我不需要在redux中存储响应,但是对于中的某些,我需要来自redux的令牌?
或者只对那些我将存储在redux中的响应使用带有API的操作。对于其他东西,例如创建自定义钩
浏览 3提问于2019-11-27得票数 0
我正在使用一个受保护的Restful服务,它通过基本身份验证(用户名和密码)授予访问权限。我已经成功地访问了API服务并使用了它的API;但是,我仍然不知道用Basic Auth实现HTTP头的正确方法是什么。我假设我应该只验证一次,但从我构造代码的方式来看,我似乎需要用我创建的每个服务方法来验证API。
我是否应该创建一个带有身份验证的帮助器方法,并在每个服务上调用它?
浏览 0提问于2020-01-21得票数 3
我正在开发一个使用REST .NET web的Web应用程序。我的web是无状态的,我使用的是静态的HTML和JQuery请求。
问题..。做登录/密码修改的最好方法是什么?
申请流程:
API XHR请求
状态401的API响应
重定向到登录页面
API身份验证XHR请求(带有登录和密码)
带有令牌的API响应
新的API XHR请求(带有令牌)
API响应与数据
浏览 1提问于2013-04-04得票数 3
回答已采纳
1回答
在Restlet Java API和GWT之间进行会话的最佳方式是什么?在我的应用程序中,用户将使用用户名和密码登录,如果成功通过身份验证,则返回userID。然后将其存储在cookie中,并在API调用中使用。这显然是完全不安全的,因为有人可能只是更改userID并开始更新和检索另一个用户。
在userID调用中必须包含令牌,这是不是也是交还令牌的最佳方式?
浏览 1提问于2010-12-15得票数 4
回答已采纳
如果我正在创建一个带有RESTful后端的web应用程序,那么考虑到我不想连接社交媒体(Facebook、Google+等),OAuth 2.0真的有必要吗?我正在考虑放弃OAuth2.0并执行以下操作:
成功登录时生成JWT令牌
将此令牌存储在redis (或数据库中,尚未决定)
有一个过滤器,检查JWT令牌,并将该令牌与redis/db中的标记匹配。
如果存在令牌,则允许用户访问资源。
浏览 4提问于2016-08-14得票数 1
我正在开发一个应用程序,在这个应用程序中,角色提升的用户(管理员)可以创建其他用户(角色较低)。我使用的是PHP (Slim框架)和MySQL。
到目前为止,我有一个资源服务器,它可以通过REST访问,使用密码授予从OAuth服务器获得访问令牌。这两台服务器有独立的数据库。还有一个where,它提供了一个仪表板,管理员可以在其中登录并通过设置用户名、密码和其他一般信息来创建新用户。
考虑到资源服务器和OAuth服务器都必须在各自的db表中存储用户数据,如果资源服务器在一个新的用户请求中将通用用户信息存储在它的“用户”表中,并向OAuth服务器发送一个带有用户凭据的请求,这将在它的"oa
浏览 1提问于2018-05-02得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
