腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
如何在客户端安全地保护服务器身份验证密码?
、
、
、
在我的应用程序中,客户端通过SSLSocket连接到服务器。为了进行身份验证,服务器发送salt,客户端发送用给定salt加密的密码。 实际上,我不希望用户每次输入他的密码,但另一方面,我不想有安全问题。 我读过关于密钥商店的文章,但它们安全吗?另外,据我所知,用户仍然需要输入密码。 什么是安全和用户舒适的解决方案?
浏览 1
提问于2020-04-08
得票数 1
回答已采纳
1
回答
哪种身份验证可用于通过REST端点管理Box用户
、
我正在开发一个身份管理应用程序,我的目标是管理Box应用程序上的用户。我正在浏览Box文档,有两种身份验证方法 OAuth 2.0,它将URI重定向为所需的参数。由于这个原因,我无法使用它,因为我将无法输入用户名和密码并使用我的Java代码动态授权。参考资料: JWT身份验证,可以在我的代码中使用,并成功地获得访问令牌。但这里的问题是,这个访问令牌只能用于管理应用程序用户(谁将没有登录到Box网站)。参考资料: 那么,还有其他身份验证机制可以用来获取用于管理Box用户的访问令牌吗? 致以敬意, 桑迪普
浏览 0
提问于2016-02-25
得票数 0
回答已采纳
1
回答
使用http post和其他值上传文件
、
、
这是我的情况。我已经用PHP创建了一个web应用程序,它使用post通过简单的表单将文件上传到我的服务器。有一个非常基本的安全性,用户使用用户名和密码进行身份验证,并获得访问令牌。然后,他们选择要上传的文件,并将令牌与要上传的文件一起传递。服务器查看令牌,如果令牌有效且未过期,则允许传输。 应用程序的另一个部分要求我与VB.net客户端应用程序进行交互。我需要它以同样的方式进行交互。它需要进行身份验证,获取令牌,并将带有令牌的文件发送到服务器。我已经让它进行身份验证并获得令牌,但我找不到在同一事务中同时发布文件和令牌的方法。到目前为止,我发现的唯一方法是在流中发布文件,但这将完全绕过任何安全性
浏览 2
提问于2014-01-02
得票数 1
1
回答
存储用于离线身份验证的令牌
、
、
、
我正在开发一个需要用户登录才能使用的应用程序。用户应该只能在连接到internet时登录。当用户登录时,应在设备上存储令牌,以允许脱机使用应用程序,而无需再次登录。我主要想检查这个令牌是否存在,如果存在,则将用户带到应用程序,否则将用户带到登录屏幕。此外,此令牌应在一段时间后过期。 问题是,是否有一种存储令牌的方法,该令牌将在例如24小时后到期,而用户不能以任何方式篡改它或欺骗系统(例如,如果令牌加了时间戳并且用户改变了设备时间)。令牌应该在用户没有连接到互联网的情况下过期,这样用户就不能在不每隔一段时间重新验证的情况下永远使用应用程序。 我一直没有找到这个问题的答案,尽管它看起来很简单。我研
浏览 0
提问于2017-09-08
得票数 3
2
回答
在基于身份服务器4的基础设施上注册新用户时,最佳做法是什么?
、
我正在添加身份服务器4实现,以便为ASP.NET核心Web提供身份验证和授权。客户端将是一个本地的iOS应用程序,MVC网络应用程序,以及潜在的角SPA。 我能够使用iOS向AppAuth客户端提供基于更高的离线访问的令牌--这是很棒的。 我只是不确定要做出哪些体系结构选择: 1新用户的登记应在何处进行?文献建议,出于安全考虑,IS4服务器仅限于登录和注销端点。这是否意味着客户端或API应该处理商店中用户的创建?我认为IS4的全部意义是客户端和API无法访问商店?似乎合乎逻辑的是,用户的添加和修改应该由系统中唯一能够访问商店的部分来处理,不是吗? 2/持久化是否安全?(1)令牌(2)用户存储和
浏览 3
提问于2020-07-18
得票数 1
回答已采纳
1
回答
Google刷新令牌安全漏洞
、
、
随着使用OAuth 2.0身份验证的引入,开发人员能够设置刷新令牌,这要求最终用户只对应用程序进行一次身份验证。 开发人员有能力为他/她的项目进行。对于刷新令牌OAuth设置,用户只需要批准一次应用程序的身份验证,此后,Google的服务器将使用刷新令牌处理重新身份验证。 根据开发人员最初指定的范围,同意屏幕将根据所选范围通知用户应用程序可以访问/修改的内容。考虑以下Stackoverflow上的Gmail 示例: 现在,如果开发人员在稍后阶段更改了应用程序的范围,用户将不必重新批准身份验证,因为身份验证最初是基于刷新令牌或假定的offline access设置的。 用户最初只批准“
浏览 2
提问于2014-09-03
得票数 1
回答已采纳
2
回答
移动AngularJS应用程序上的用户身份验证
、
、
、
我想问一个问题,它可能有一个以上的解决方案,但在现阶段,我不知道如何解决这个问题。 我目前正在构建一个内置于Angular/Ionic的移动应用程序,它正在访问Woocommerce API,该应用程序需要传递一个用户密钥和一个秘密,以便获取产品信息和创建产品。 我假设我无法直接访问我手机上的数据库,在那里我可以存储这些细节来验证我的应用程序,并将其指向右边的woocommerce商店。 即使我将这些存储在基于服务器的应用程序中,我的移动应用仍然需要对基于服务器的应用程序进行身份验证,才能访问正确的woocommerce商店。 有人能为我指出开发人员如何解决这个问题的正确方向吗?
浏览 6
提问于2015-08-03
得票数 1
回答已采纳
1
回答
令牌与用户名/密码自动登录
、
、
、
如果与存储在cookie中的加密用户名/密码的autologin相比,使用服务器生成的令牌的autologin有什么好处?在浏览器上提高令牌安全性的方法是什么?(指商店、地点等) 更新:请描述在什么情况下我们需要oAuth?
浏览 2
提问于2016-04-06
得票数 2
回答已采纳
2
回答
我可以在IOS Swift应用程序中将用户名和密码保存在单例程序中吗?
、
、
、
、
我正在开发一个IOS快速3应用程序,从restful中获取数据。第一个屏幕是登录屏幕。它要求提供用户名和密码。该应用程序转到web,调用身份验证方法(匿名访问),如果用户是否经过身份验证,则返回。web使用基本身份验证。 在ios应用程序中,成功登录后,我将用户名和密码保存在单例中。从那时起,每当我需要调用web时,我都会从单例中检索用户名和密码,并将它们放入我的http报头“授权”参数中。当应用程序关闭时,独生子女就会消失。在我看来,这就像一个保存状态的桌面应用程序。那为什么没人这么做?每个人都在做钥匙链,URLCredential等。 谢谢!!
浏览 3
提问于2016-10-19
得票数 1
回答已采纳
2
回答
如何使用Facebook令牌和用户名/密码构建PHP身份验证
、
、
、
我正在使用silex (php微框架)构建一个非常简单的API。我对如何使用Facebook连接或用户名/密码对用户进行身份验证有一个想法。 我想构建这个API来为我的移动应用程序提供数据。我的API使用HTTPS。使用Facebook的身份验证: Facebook连接发生在移动应用程序上 移动应用程序将用户令牌和facebook_id发送到API。 API检查请求/me?token=...的用户Facebook id。 API检查Facebook app_id是否正确/app?token=... ->用户确实存在并通过身份验证 现在使用登录/密码: 移动
浏览 2
提问于2014-01-31
得票数 0
1
回答
一种在Android中保存凭证的安全方法
、
、
、
、
我正在开发一个Android应用程序。对于身份验证,用户需要输入用户名和密码,服务器返回一个即将过期的身份验证令牌。 目前我正在保存令牌,但不保存凭据。在本地保存凭据的首选最安全方法是什么,以便在令牌身份验证失败时,我可以在后台使用保存的凭据重新登录用户,而无需用户再次输入其凭据。 我知道如何使用SharedPreferences保存数据。但它们真的安全吗?我可以使用AccountManager实现此目的吗?
浏览 1
提问于2017-11-16
得票数 1
1
回答
使用http上的socket io,安全登录过程是可能的吗?
、
、
、
、
我已经使用socket io在nodejs中构建了一个游戏服务器。 我计划从身份验证过程中删除express和cookie,转而使用webstorage和一个在socket io握手期间尝试登录的客户端。 但是,我使用的是http,并以明文形式发送用户id和密码。求求你,可怜我吧!我相信在整个套接字连接中使用https会增加很大的开销,因为每100ms就会发送一次更新。我目前的解决方案已经用于开发,但我确信它是不安全的。 我应该提一下,我从来没有设置/使用过https,所以如果我在开销方面错了,请纠正我,我知道这是一个非常有争议的话题。理想的解决方案似乎是通过https连接对用户进行身份验证,
浏览 10
提问于2016-12-19
得票数 0
1
回答
如何验证在重定向中收到的来自服务器的oAuth token?
、
、
、
我希望允许用户使用oAuth (facebook/twitter)登录我的网站,但如果我在客户端对他们进行身份验证,我就无法理解安全模型是如何工作的。 当用户进行身份验证时,我会收到一个带有他们的authToken和ID的重定向。许多答案建议使用ID来查询/存储我的数据库中的用户信息,但这是不安全的,因为任何人都可能知道ID并检索任何人的数据。 我是否应该使用来自服务器的authToken来检查它是否有效以及是否与ID匹配?或者假设登录用户到我的站点的唯一方法是使用服务器端身份验证? 谢谢, -gene
浏览 1
提问于2013-04-29
得票数 2
2
回答
Vue.js + REST中的认证流
、
、
我正在用vue cli和adonis.js构建一个项目。前端只使用Vue.js,后端只提供REST。我将使用jwt进行身份验证。问题是,我不理解jwt的身份验证流程。我最近从Laravel迁移到adonis,所以我对Vue + Ajax + REST知之甚少。以下是我的问题: 您必须在每个Ajax请求中发送令牌吗? 如何使当前用户与给定的jwt令牌相关联? refreshToken是什么? 提供详细指南的链接就足够了。
浏览 5
提问于2020-01-05
得票数 1
回答已采纳
2
回答
我应该选择哪个OAuth 2.0 / OpenID连接流?
、
、
、
、
我有一个场景,需要向本机iOS / Android应用程序添加身份验证和授权。该应用程序允许商店的员工执行他们的业务操作: 每个商店都有一个在服务器上为它创建的帐户。 可以在同一存储区内使用多个设备。存储中的所有设备都应该访问相同的数据。 多个用户(雇员)可以使用商店内的任何设备。 识别执行特定操作的实际用户是在应用程序本身内处理的。 我看了一下可用的流,我有点困惑于在这个场景中什么才是最合适的。 我考虑过使用设备流,但我不确定在这里做什么是正确的,因为移动设备并不是一个输入受限的设备(例如健身跟踪器或智能电视)。 客户端凭据流也不太适合,因为移动设备无法安全地
浏览 4
提问于2022-04-22
得票数 0
回答已采纳
1
回答
如何使用启用asp.net的webapi门户对移动客户端进行身份验证?
、
、
、
在之后,我创建了asp.net mvc5 webapi门户,启用了UseGoogleAuthentication并试图实现仅由经过身份验证的用户使用的API: Visual生成的模板工作良好,我可以创建帐户/身份验证,但我没有找到任何信息,说明如何从移动客户端实现与经过身份验证的用户相同的API并调用API(面向移动身份验证用户的API)。 谢谢您的指导和建议。
浏览 4
提问于2014-02-26
得票数 1
回答已采纳
1
回答
如何使用JWT防止会话攻击?
、
、
我没有发现与nodejs有关的疑问。 我是nodejs的新手,我正在使用JWT框架来创建用户令牌和会话。我想知道如何防止会话攻击(使用令牌窃取用户会话),以及如何实际保护访问不受需要身份验证的路由的影响。 目前,具有身份验证和路由的JWT代码如下: JWT const jwt = require('jsonwebtoken'); module.exports.sign = (userId, expiresInValue) => { const userToken = jwt.sign({ userId }, process.env.SECRET, {
浏览 1
提问于2018-11-30
得票数 1
回答已采纳
1
回答
基于角色的React.js最佳实践(最安全)用户身份验证&组件更新
、
、
、
、
在提供足够的信息的同时,我将尽量保持这一点的快速和简单: 我一直致力于创建一个干净的、最佳实践的、最安全的用户身份验证系统,包括基于角色的用户(isAdmin用户模式bool),以便有条件地确定可访问的路由(受保护的路由)以及要呈现的组件。 目前,当用户进行身份验证时,我使用从后端接收的JWT设置本地存储,然后根据本地存储中的JWT设置用户状态(redux工具包),在使用用户数据(isAdmin值)设置状态之前验证令牌和有效负载是否有效。 每次更新(useEffect)时,它都会使用本地存储JWT在redux中重新设置用户状态,每次都进行验证。 我的目标是避免人们改变客户端的反应状态的可能性,
浏览 5
提问于2022-04-13
得票数 1
1
回答
使用AWS Cognito对前端应用程序进行基于角色的授权
、
、
、
如何使用Cognito用户池实现基于角色的授权?构建一个前端Angular应用程序时,我使用Cognito用户池进行身份验证。这里没有问题。我希望不同角色的用户可以看到应用程序的不同部分。因此,需要从某个地方带回一个角色。在用户池中创建用户时,我为该用户分配了一个角色,该角色信息可以在身份验证期间返回。然后,我使用这个角色来决定为当前通过身份验证的用户显示哪些UI页面(比如在auth guard中,使用CanActivate等在Angular中)。这只在一定程度上有效,因为用户角色在F5刷新后无法存活,或者用户通过直接键入URL路由到另一个页面(这会导致页面重新加载)。这个用户角色信息需要以
浏览 18
提问于2019-03-11
得票数 2
2
回答
如何在使用JWT时处理权限/角色授权
、
、
、
我在我的第一个nodejs应用程序中实现授权时遇到了一个问题,该应用程序使用expressjs、sequelize和jsonwebtoken进行身份验证。在内部,我想禁止/允许不同用户的路由,我不想使用另一个包,如oauth2或为我处理授权的东西。 目前,我已经创建了一个jsonwebtoken,它的有效负载中包含了权限角色: { "userid": 1, "name": "John Doe", "permissions" : ["user_get", "user_post
浏览 6
提问于2017-09-11
得票数 1
1
回答
刷新重定向页面时丢失访问令牌
、
、
因此,如果我通过身份验证流登录,那么使用Spotify进行的访问令牌身份验证工作得很好。但是,如果我在“主页”页面(身份验证重定向到的页面)上按“刷新”,而没有注销和重新登录。我的用于存储访问令牌的令牌变量在控制台中变成了空值。我注意到其他Spotify API构建的web应用程序允许用户在你输入他们的url时自动登录,而不必将用户重定向到Spotify登录身份验证。我不确定如何才能做到这一点。
浏览 11
提问于2020-05-29
得票数 0
1
回答
在.Net中验证JWT令牌
、
、
我有一个应用程序可以将Azure Active用户保存到Server。为此,我使用MSAL身份验证来获取用户。 但有时我的访问令牌将过期,我将得到401未经授权的错误从图形。因此,我需要在代码本身中添加验证过期的逻辑。我找了很多次,但没有找到一个好的解决办法。 有人能帮我实现这个目标吗?
浏览 1
提问于2021-12-20
得票数 2
2
回答
Django SimpleJWT:令牌身份验证的几个问题
、
、
、
、
我正在使用在Django中实现身份验证,并对此有几个问题。为了给一些背景,我有多个域与我的后端,一些与正常登录(用户名和密码),和一些与SSO登录。 问题2:假设,我将访问令牌存储在本地存储中,并将访问令牌发送到所有API,并且在访问令牌到期之前刷新它。但是,如果用户关闭浏览器,而我们无法刷新访问令牌,会发生什么情况。访问令牌过期,用户将被注销。我们如何让用户登录一段时间(比如30天)?
浏览 21
提问于2021-12-08
得票数 2
回答已采纳
1
回答
使用Facebook或Google或任何其他第三方的移动客户端的OAuth2身份验证
、
、
、
、
我已经实现了一个OAuth2服务器,它目前处理两种授予类型,password和refresh_token。 现在,我需要允许我的客户使用他们的Facebook或Google帐户进行身份验证,但我的问题可能适用于任何类似的流程。 要对Facebook或Google进行身份验证,用户需要授权我的应用程序来获取它的数据,然后我需要访问Facebook或Google来实际获取它们。 我想了两种方法。 用户登录其Facebook帐户,授权我的应用程序并检索访问令牌。它将访问令牌发送到我的服务器,我使用它来获取数据。 用户登录其Facebook帐户,授权我的应用程序并获得授权代码,将其发送到我的服
浏览 2
提问于2016-04-05
得票数 0
1
回答
网站和移动应用程序的认证
、
、
这做了一个Spring应用程序(Rest,JPA等)使用(通过Rest)从一个网站(角)和一个移动应用程序(Android)。 使用移动应用程序的用户(在未来)将能够通过Facebook、Google等进行身份验证,并将从应用程序所需的社交网络获得的一些信息存储在数据库中。 我通过提供用户名和密码(保存在数据库中)和从后端释放访问令牌(JWT)来实现身份验证,这两个前端在每个REST请求时都会使用访问令牌(JWT)到Spring。 现在,我希望用户的移动应用程序不要每次输入用户名和密码,而是为了“永远”而保持登录。 我在互联网上看到,当后端(Spring )返回HTTP错误401时,应用程序可
浏览 0
提问于2021-02-24
得票数 2
1
回答
使用Windows身份验证的Windows tablet应用程序
、
、
、
、
我们有一个相当庞大和复杂的业务线系统,它有多个桌面应用程序和3到4个web门户部署在内部网中,但也部署在外部,供系统的外部用户使用。 在项目接近尾声时,我们收到了一些额外的更改请求,要求添加3个小型应用程序,这些应用程序应该可以在某些Windows 8.1 Pro戴尔平板电脑上运行。我们收到的要求之一是使用Windows身份验证来标识应用程序的当前用户。我们构建的系统核心包含一个SQL Server数据库,因此这3个新的平板应用程序必须为来自那里的数据提供服务。 在设计和开发这三个小应用时,我正在尝试找出最好的继续进行的方式。 一方面,我可以选择开发Windows应用商店应用程序。我不能使用实
浏览 0
提问于2016-04-12
得票数 0
2
回答
Firebase云消息传递展会
、
我想用Firebase Cloud Messaging向世博会中的特定用户发送推送通知,但世博会不支持firebase!你能帮帮我吗!
浏览 16
提问于2020-01-14
得票数 2
2
回答
如何使用查询身份验证保护rest api
、
、
、
、
我有一个rest API创建的asp.net网络服务,我有一个安卓和IOS应用程序调用的api,并显示一些数据给用户。 我需要的是以一种只有我的应用程序可以通过API和其他请求拒绝来访问数据的方式来保护我的api。 我应该提一下,我的应用程序不是用户基础,所以没有登录和身份验证,我不想强制用户登录! 根据我的搜索,我需要查询身份验证(查询参数)来实现这一点。 我需要的是如何创建这种查询参数,以及如何验证它们?(性能对我来说太重要了) 提前感谢
浏览 7
提问于2015-07-27
得票数 1
4
回答
WSO2 ESB获取用户名
、
、
我喜欢使用代理,通过用户名和密码进行身份验证。所有通过ESB的消息都应该保存到一个数据库中,包括通过ESB身份验证的用户。有没有办法在代理中获取用户名?例如,我知道您可以获取message-id,但我无法找到获取用户名的解决方案。 也许您可以帮助我:)
浏览 0
提问于2013-06-10
得票数 1
回答已采纳
1
回答
基于iOS上Azure Graph的非交互式登录(缓存凭证)
、
、
、
我正在iOS上创建一个应用程序,它将以"kiosk“模式运行。应用程序的一部分要求用户能够搜索组织的目录。我想通过来支持Azure来提供这个功能。 当应用程序启动时,我不想要求交互登录,我也不想使用额外的web服务;我希望iOS应用程序只需要通过REST访问Azure。 我知道与缓存的凭据相关的风险,但是使用“服务帐户”进行非交互式登录是相当可靠的,访问是只读的,凭据可以在iOS密钥链中得到保护。 我查看了许多Azure示例并阅读了文档,似乎iOS ADAL库中没有提供所需iOS的方法(或者是ClientCredential类)。 为了澄清这一点,我希望我的应用程序能够正常工作:
浏览 2
提问于2016-08-22
得票数 2
回答已采纳
1
回答
我能否访问在我的Firebase通知中注册的所有用户的注册令牌?
、
、
、
、
有时我想通过Firebase通知向一个唯一的用户发送消息,然后我想从该用户访问令牌,所以我想知道在任何时候获取该令牌的最佳实践是什么? 在我的应用程序的初始启动时,FCM为客户端应用程序实例生成一个注册令牌。我可以获得该令牌,但是如果我将该令牌保存在Firebase实时数据库中,我认为其他人可以访问该数据,因为它是“设置持久模式”来访问脱机数据。 我的问题是:是否有可能获得所有用户的令牌而不将其保存在数据库中?我可以直接从Firebase身份验证获得这些令牌吗?如果没有,那么访问这些令牌的最佳实践是什么?
浏览 0
提问于2017-03-30
得票数 4
回答已采纳
3
回答
当使用带有角度2+的社会信号时,组件之间的信息是以什么方式传递的?
、
、
、
、
我计划以如下方式支持我的应用程序的多个登录选项(包括使用google和facebook的社交登录)。当用户单击google/facebook登录时,打开一个新窗口,用户身份验证完成,服务器返回JWT,(我存储在本地存储中,并使用)前一个窗口(或父窗口)知道成功的身份验证。 这个流程运行良好(对于正常的服务器端身份验证),但我正在考虑将JWT存储在本地存储中可能引起的安全问题。在使用社会签名时,共享认证信息的标准方法是什么? 是否有更好的方法将JWT/身份验证详细信息从子窗口(进行身份验证的地方)传递给父窗口?另一种选择是使用Eventemitters在两个组件之间传递信息,但是使用社交信号和j
浏览 0
提问于2018-01-25
得票数 3
回答已采纳
1
回答
如何处理通过第三方OAuth1.0a认证的用户登录状态?
、
、
我正在构建一个使用Node.JS/Express.JS的网站,允许用户使用第三方提供商(Discogs通过OAuth1.0a)登录。 我已经成功地实现了身份验证过程,以便用户授予对其Discogs帐户的访问权限,并为未来的API调用返回一个访问令牌。访问令牌不会过期。Discogs将用户归类为“经过身份验证的应用程序”。 目前,我正在将访问令牌存储在会话中,即使用户重新启动浏览器或重新启动我的服务器,访问令牌也会持续存在,因此用户将继续登录。太棒了。 但是,当我通过销毁用户会话登录用户并重复身份验证过程时,第三方提供商将用户视为一个新授权的应用程序,而不再使用旧的授权应用程序。我怎么才能避开这
浏览 0
提问于2018-03-07
得票数 0
回答已采纳
1
回答
JWT访问令牌安全考虑
、
、
对于我的项目,我正在实现OAuth2身份验证框架,该框架使用Bearer。 从快速搜索来看,JWT令牌似乎是今天Bearer的主流选择。 如果我使用不编码任何信息的“哑”令牌,我将将此令牌与所有相关参数(令牌的用户、发布日期、到期日期等)一起存储在数据库中。 从JWT的文档中我了解到,我可以通过实现这个流程来避免这种开销: 用户使用支持的方法之一进行身份验证。 身份验证服务生成JWT令牌并将以下参数编码到其中:用户id、使用的身份验证方法、发布日期、过期日期 身份验证服务对令牌进行加密和签名。 将令牌发送给用户,以供后续使用。 加密步骤是可取的,因为我不想宣传用户ID。
浏览 2
提问于2017-07-27
得票数 0
回答已采纳
1
回答
Android应用程序的身份验证模型
、
、
、
、
我要建立一个系统,其中有2个部分: 1。PHP网站(CakePHP)。2.移动应用(Android & iPhone)。 用户必须使用用户名和密码登录才能使用我的系统(web和移动应用程序)。但我在用户身份验证方面没有太多经验。我应该存储什么: usr&pwd,令牌字符串。我想为我的系统(Web和移动应用程序)找到一个“用户身份验证模型”。 有没有人有过用户身份验证的经验?有人知道怎么实现这个吗?
浏览 0
提问于2011-09-09
得票数 7
回答已采纳
1
回答
铬应用程序的安全更新
我有一个铬应用程序,将作为一个正常的文件分发,而不是使用应用商店。我想要一种方式来更新它,最好使用自动更新设施。但是,我不想使用不安全的URL进行更新。 是否可以使用任何类型的身份验证来进行更新?我可以使用什么方法来保护未经授权的用户无法访问的更新?
浏览 0
提问于2013-08-24
得票数 0
回答已采纳
2
回答
WSO2应用程序接口管理器-移动应用程序如何连接到应用程序接口管理器?
、
我们有一个移动应用程序,这是需要通过WSO2应用程序接口管理器来访问一些API。由于oauth2身份验证,我们需要在手机应用中存储用户名和密码,这样安全吗?例如,用户名和密码可以用于登录API Store,对于这种情况,有什么替代方案吗?
浏览 1
提问于2013-08-27
得票数 2
2
回答
从令牌创建Django会话
、
、
、
、
问题 我目前正在为Django提供身份验证强制的媒体文件这一众所周知的问题而斗争。问题的背景很简单: 我们要使用Django的媒体文件支持 默认情况下,媒体文件不是私有的。实际上,them服务器通常直接为它们服务。 我们希望在访问媒体文件时对用户进行身份验证。 我们在前端使用令牌身份验证。 由于没有有效的会话,因此浏览器在访问私有文件(例如在新选项卡中打开PDF )时无法进行身份验证。 我们希望Django为浏览器提供身份验证,但需要使用现有的auth令牌进行身份验证。 我们仍然希望nginx将文件发回,因此我们将在身份验证之后利用X-Accel-Redirect。
浏览 3
提问于2016-04-24
得票数 10
回答已采纳
1
回答
如何在React中安全地验证用户(使用JWT令牌)
、
、
我目前正在处理一个React前端,并且在Express中运行了一个服务器。我有一个登录表单,它查询服务器并接收一个JWT身份验证令牌,如果用户名和密码是有效的。 然后获取这个令牌,并设置一个user状态。 try { const user = await loginService.login({ username, password, }); setUser(user); 最后,我在用户未登录时显示登录表单,在用户登录时显示内容。 <div> {user ? ( <div> &
浏览 8
提问于2022-11-27
得票数 0
1
回答
web服务器上的认证和授权?
、
、
、
、
我正在构建一个android应用程序,它与apache上的web服务器进行通信。Web服务器构建在JAVA中。目前,为了进行身份验证和授权,我使用用户名、密码和使用令牌管理会话。因此,当用户登录时,我将检查mysql数据库并对用户进行身份验证。当用户试图根据发送的令牌执行某些操作时,我将标识用户,并授权根据授予该用户的权限执行该操作。看起来有点麻烦。我想知道是否有任何标准框架使这项任务变得容易。 是否存在tomcat容器级别的身份验证和授权,因此如果未授权执行此操作,则请求将无法到达web应用程序? 或者,在web应用程序中是否有提供标准身份验证和授权的框架?
浏览 4
提问于2014-07-14
得票数 2
回答已采纳
6
回答
如何为使用Django、PhoneGap和jQuery实现的移动web应用程序实现首次登录方案?
、
、
、
、
我正处于使用开发移动web应用的早期(预编码)阶段(我们在上看了几个星期,但jQuery移动更适合我们团队的能力)。我正在用包装jQuery Mobile web应用程序,以创建一个iPhone、iPod touch和iPad原生应用程序。我将Django用于我们的web应用程序,所以我打算在这里为服务器端做同样的事情,为移动应用程序和服务器之间的接口提供某种JSON/Ajax/REST数据流。由于它是一个纯移动的应用程序,我们应该可以访问所有的类的东西。 虽然我可能会为这个实现提出其他问题,但这里是我目前的问题: 我需要设置应用程序,以便用户第一次打开应用程序时,必须输入用户名和密码进行身份
浏览 2
提问于2011-06-05
得票数 14
回答已采纳
1
回答
从Django Rest框架将经过身份验证的用户传递给SendBird
、
、
我有一个Django DRF服务API和一个角度前端的解决方案,我正在开发。我希望将SendBird聊天API集成到应用程序中,以允许经过身份验证的用户相互聊天。 SendBird有一个我可以使用的JavaScript API,但我的查询是如何将经过身份验证的用户详细信息传递给SendGrid,例如,如果用户X登录到网站,用户Y登录到网站--我如何允许他们相互交谈。 我很肯定我在会议上误解了一些东西,但是任何帮助都是非常感谢的。 我不是在寻找一个特定的代码答案,而是一个一般的架构答案。
浏览 0
提问于2019-02-12
得票数 3
回答已采纳
2
回答
Django REST自定义身份验证
、
、
、
、
这是我的问题伙计们。我有一个商店用户,可以登录到他的网站,并查看与他的商店相关的各种数据。在他的商店里,假设有10台安卓计费设备向他发送账单。现在我需要在Django REST框架中创建一个自定义身份验证,它将使用安卓设备的id_number和type字段(而不是存储用户的用户名和密码)进行身份验证,并为它们分配一个令牌(每个都是单独的),并允许它们发布、获取、上传等。这有可能吗? Store(models.Model): user = models.ForeignKey(User, default=1) AndroidDevice(models.Model): id_num
浏览 15
提问于2016-08-31
得票数 2
1
回答
OAuth:生成/重用令牌的正确方法
、
、
当用户提供正确的凭据时,我就是这样管理OAuth身份验证的: protected function authenticated(Request $request, User $user) { return response()->json([ 'token' => $user->createToken('my_app')->accessToken ]); } 我尝试使用默认的Laravel身份验证(护照),它使用OAuth。我遇到的问题是,每次用户连接时,都会
浏览 4
提问于2020-06-24
得票数 1
回答已采纳
3
回答
是否有任何方法以编程方式验证Shopify中的客户?
、
、
、
我们有一个自定义应用程序托管在Firebase (谷歌的后端作为一项服务)。我们希望使用Shopify的身份验证,这样用户就不必在应用程序和Shopify商店中创建帐户(在那里我们需要帐户)。 密钥:,我需要一些机制(比如API),我可以使用它来对用户进行身份验证。(假设客户已经在Shopify商店中创建了一个帐户。)帐户创建将由正常的Shopify过程处理。) 我可以在我的应用程序中创建一个页面来请求电子邮件/通行证。是否有办法发送这些信息(可能还有从私有应用程序中生成的某种令牌)来验证客户身份?我只需要Shopify确认电子邮件/密码是否正确,这样我就可以将用户“登录”到我的Firebas
浏览 9
提问于2017-09-12
得票数 4
回答已采纳
1
回答
Expo AuthSession promptAsync -获取新的访问令牌时无法等待返回
、
、
、
、
我们有一个托管的世博会应用程序,专门使用AuthSession将我们的应用程序部署到web环境。使用Auth0和PKCE授权进行身份验证。 在当前访问令牌过期时尝试获取新的访问令牌时遇到了问题。在发出HTTP请求之前,我们检查访问令牌是否已过期,如果已过期,则使用AuthSession.promptAysnc()获取一个新令牌。问题是我们无法在发出promptAsync请求之前等待HTTP完成。 我们是不是漏掉了什么? const [request, result, promptAsync] = AuthSession.useAuthRequest( { redirect
浏览 35
提问于2020-09-11
得票数 0
1
回答
考虑到OpenID连接使用JWT进行身份验证,如何确保安全?
、
因此,我试图理解各种登录(身份验证)机制,似乎有三种方法可以这样做,即:(如果我错了请纠正我): 会议(有状态) JWT(既无状态又有状态) OpenID连接 这篇博客文章( )介绍了JWT在使用JWT来维护会话时的许多缺点。当我阅读OpenID连接时,发现他们使用JWT令牌作为ID令牌来对用户进行身份验证。这篇博文描述了诸如XSS攻击、恶意javascript代码窃取令牌(& token info)等缺点。 那么,OpenID连接如何确保它的身份验证和会话维护是安全的呢? 另外,如果JWT被用作“短暂的一次性使用令牌”,那么如何保持用户登录而不提示用户每隔几分钟
浏览 3
提问于2020-09-06
得票数 0
回答已采纳
2
回答
如何在react native中从浏览器中检索url?
、
我对原生react非常陌生,我想为我的应用程序创建一个Instagram身份验证,我需要它的访问令牌。正如文档中所述,我必须访问此链接,当用户授权并验证应用程序时,我将被重定向到此链接,在那里我可以获取我的访问令牌。但我无法实现这一点,因为我不知道重定向到此后如何从react-native中的url检索令牌的过程。 我正在使用WebBrowser (世博会)打开应用程序中的链接。 PS:我正在为我的react-native-app使用CRNA cli
浏览 0
提问于2019-04-03
得票数 1
1
回答
WCF/WIF STS记住me函数
、
、
、
、
我有一个asp.net网站。asp.net网站连接到wcf服务。wcf服务使用具有自定义用户名/密码身份验证的sts(安全令牌服务)。 asp.net页面有一个简单的用户名和密码登录表单。现在我想实现一个“记住我”函数。 目前我有两个解决方案: 在asp.net服务器上保存输入的用户和密码,并设置带有ID的cookie。在asp.net服务器上保存STS令牌,并在需要时对其进行更新。 什么是更安全的解决方案?你还有别的主意吗? 谢谢
浏览 2
提问于2012-03-09
得票数 1
回答已采纳
1
回答
如何在Windows应用商店应用程序和同伴网站之间使用相同的Microsoft帐户?
、
、
、
、
我有一个MVC5网站和使用ASP.Net identity的WebApi。我已将网站配置为使用Microsoft帐户作为外部登录。 Windows应用商店应用程序将使用WebApi,用户在从网站或应用程序使用其微软帐户时应具有相同的身份。由于用户在使用Windows应用商店应用时已登录到其Microsoft帐户,因此我不希望他们必须再次输入凭据。 我想知道什么是让我的应用程序能够访问WebApi的好方法。我是否可以检索微软帐户身份验证令牌,并使用授权码授权将其传递到我网站的令牌终结点,以便为我的应用程序检索用于访问WebApi的令牌?还有别的办法吗?
浏览 3
提问于2015-04-09
得票数 1
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
Apple iCloud帐户的破解与保护攻防战
steam令牌没反应?是这里出了问题,我准备了办法。
10分钟了解JSON Web令牌
Steam令牌怎么开,解决方法太麻烦,一个方法轻松解决!
GitHub新规:Git操作的身份验证将放弃密码,改用令牌或SSH密钥
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
云直播
活动推荐
运营活动
广告
关闭
领券