腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
为
公共
客户端
使用
cookie
保护
web
API
的
陷阱
rest
、
security
、
authorization
、
openid-connect
、
webapi
我正在为一个
公共
JS
客户端
在我
的
asp.net核心rest
web
api
中实现oidc/pkce隐式授权流程。我几乎理解了这是如何工作
的
,但我不能确切地理解另一种方法
的
最大问题是什么-如果我
使用
由ASP标识提供
的
默认
cookie
(或会话)身份验证。 我发现很难在谷歌上搜索这个话题。我可以要求一些文章
的
提示/指针吗?
浏览 12
提问于2021-09-13
得票数 1
回答已采纳
1
回答
如何防止ASP.NET
Web
中没有cookies
的
客户端
进行CSRF攻击?
security
、
asp.net-web-api
、
csrf-protection
我正在将ASP.NET
Web
2服务作为RESTful
API
来支持移动应用程序。 大家都谈到基于曲奇
的
反CSRF验证。我需要在我
的
移动应用程序中放置这样
的
cookie
,不仅如此,它还必须预先加载,应用程序才能立即工作。有没有办法不需要设置
cookie
就可以
使用
这样
的
反CSRF安全方法?或者,是否有一种方法可以在移动应用程序中预加载安全
coo
浏览 1
提问于2014-07-04
得票数 3
回答已采纳
1
回答
作为
API
访问控制机制
的
JWT
jwt
JWT如何解决
web
应用程序
使用
API
中
的
数据
为
用户服务
的
问题,同时阻止用户直接访问相同
的
API
?
客户端
的
任何加密都可以更改/拦截。 答:没有认证,
保护
公共
API
是不可能
的
浏览 0
提问于2019-02-14
得票数 1
回答已采纳
3
回答
ASP.NET Core6WebAPI防伪令牌在外部用户(App)中
的
应用
c#
、
asp.net
、
asp.net-core
、
asp.net-core-webapi
、
antiforgerytoken
如何在ASP.NET Core6WebAPI中与iOS或Android等外部用户一起
使用
防伪令牌?我不需要对请求进行用户身份验证。该应用程序托管在另一个域上。我已经开发了一个带有防伪令牌()和ASP.NET 6 Razor页面的
Web
。一切都在正常工作。但是,如何开发
使用
此
Web
的
extern应用程序呢?问题是,我不知道如何从“外部”应用程序创建防伪令牌?如何将应用程序配置
为
使用
带有防伪令牌
的
Web
?
浏览 18
提问于2022-01-02
得票数 4
1
回答
利用Spring安全
保护
web
应用免受CSRF攻击
javascript
、
java
、
spring
、
spring-security
、
csrf
我正在我
的
web
应用程序中实现CSRF
保护
。UI组件是部署在不同服务器上
的
单个页面应用程序,它读取此
cookie
并从
cookie
读取XSRF令牌,并在所有后续请求中将其设置
为
标头。我们无法读取htt
浏览 0
提问于2019-04-18
得票数 0
回答已采纳
1
回答
如何正确
保护
资源服务器,但允许
公共
客户端
在不需要用户交互
的
情况下以机器-机器样式访问。
oauth
我
的
场景是,我有我想要
保护
的
web
API
,但是我希望允许我自己
的
应用程序访问,这些应用程序可以运行在windows窗体/android/ios/etc中。被视为
公共
客户。我
使用
标识服务器3 (Github链接)作为身份提供程序实现。我最初
的
想法是生成一个
客户端
id +机密,并将其(以某种方式)放到所有
客户端
中,但这被认为是危险
的
,因为
公共</
浏览 0
提问于2016-05-06
得票数 0
回答已采纳
2
回答
当
API
在不同
的
域中时,如何在前端访问CSRF令牌?
web-application
、
cookies
、
csrf
、
django
、
crossdomain
我正在构建一个带有单独Javascript前端和Django后端
的
网站。我
的
后端
使用
CSRF
保护
。现在
的
问题是,
客户端
将CSRF令牌设置
为
后端域上
的
cookie
,例如
api
.example.com,并且无法从前端
的
frontend.example.com或somethingelse.com访问此
cookie
cookie
的
HTTPOnly设置<em
浏览 0
提问于2022-06-03
得票数 2
回答已采纳
1
回答
正在获取Azure active directory令牌javascript
javascript
、
jquery
、
azure
、
azure-active-directory
(请注意,在C#中
使用
类似的代码可以很好地工作,也可以
使用
fiddler/postman)。
浏览 0
提问于2016-12-05
得票数 1
2
回答
我们能否仅用aspnet标识来
保护
一个dotnet核心2.0 React?
.net-core
、
react-redux
、
asp.net-identity
、
identityserver4
我正在构建一个SPA
使用
React和Redux之上
的
dotnet核心2.0。不幸
的
是,用于此
的
vs2017模板不包括身份验证/授权。环顾四周,我看到很多人都在谈论JWT
的
使用
,并建议像Identity Server或OpenIddict这样
的
东西来处理这个问题,但我以前只
使用
过ASP.NET标识来处理安全问题。我
的
问题是,仅仅
使用
ASP.NET身份就可以
保护
一个react应用程序,如果是这
浏览 9
提问于2017-12-10
得票数 21
5
回答
WEB
在控制器或操作级别授权(不进行身份验证)
c#
、
authentication
、
asp.net-web-api
、
authorization
我有一个现有的
API
,它没有身份验证。这是一个
公共
的
Web
,几个客户通过发出简单
的
请求来
使用
它。如何确定请求是否具有访问此“受
保护
”方法
的
权限?
浏览 0
提问于2016-08-03
得票数 12
回答已采纳
1
回答
是否可以对Microsoft
Web
API
应用自定义加密?
c#
、
asp.net
、
asp.net-web-api2
我们
使用
Web
API
2.0在不能
使用
SSL
的
上下文中
为
客户端
提供服务(没有
公共
互联网访问,不能期望
客户端
信任自签名证书)。为了
保护
在
客户端
和服务器之间传输
的
内容,我们希望能够对其进行加密。我们可以
使用
未加密
的
HTTP报头(只需要加密有效负载)。问题是:有没有一种方法可以将自定义处理程序插入到请求和响应消息管道中,以便我们可以将解密作为请求预处
浏览 1
提问于2015-01-31
得票数 0
1
回答
为什么这个
cookie
没有发送到其他子域?
cookies
、
subdomain
我们有一个用于登录
的
身份验证
API
和一个提供受
保护
文件
的
文件下载
API
。文件
API
位于files.
api
.mysite.com,允许
客户端
下载受
保护
的
文件,提供以下请求头:something.othersite.com
的
web
应用程序
使用
了这些
API</e
浏览 0
提问于2020-08-11
得票数 0
回答已采纳
1
回答
我需要澄清Azure应用程序注册
oauth-2.0
、
azure-active-directory
、
exchangewebservices
、
ews-managed-api
我需要在Azure Portal注册一个应用程序,以便
为
我
的
Windows桌面应用程序检索一个令牌。应用程序详细说明主应用程序是Windows桌面可执行
的
。我们
使用
EWS托管
API
创建了一个类型库,以便在Exchange中直接创建约会(我们
使用
Exchange在线)。现在,我们希望
使用
OAuth
API
进行身份验证。
浏览 2
提问于2019-04-05
得票数 0
1
回答
json
web
令牌+ img源
json
、
html
、
json-web-token
我将我
的
项目设置
为
json
web
令牌身份验证。我在"private“路径下
保护
了所有的请求。
使用
标签img和属性src从
客户端
下载镜像
的
最佳方式是什么?<img src="/private/test.jpg" /> 到目前为止,我唯一
的
解决方案是在客户机上设置一个具有令牌值
的
coookie,而不是私有来访问
公共
路径。在服务器上,我将获得
浏览 2
提问于2015-01-28
得票数 8
1
回答
谁来管理2种身份验证类型?
oauth
大约有12或13个
API
。其余(需要验证第三方以及用户) 到目前为止,我已经看到了oAuth 2.0解决方案,它们立即要求用户登录,这是我不想要
的
。如果有人花时间解释一个可能
的
解决方案,以及这些方法是如何结合在一起
的
,那对我来说将是非常有帮助
的
。
浏览 0
提问于2018-06-01
得票数 0
1
回答
使用
Spring、OAuth和JWT
保护
SPA?
spring-mvc
、
spring-security
、
oauth
、
spring-cloud
、
netflix-zuul
我一直在研究,它展示了如何
使用
从简单到我们自己授权服务器
的
几种场景来
保护
单个页面应用程序,授权服务器将身份验证委托给提供者。第一个场景
使用
登录用户。假设我们将Facebook
的
OAuth服务器替换为我们自己
的
JWT服务器,并将其配置
为
返回一个JWT令牌。如果SPA想要
使用
JWT令牌来
保护
通过负载在资源服务器之间
的
负载平衡
的
边缘服务器
的
请求,那么SPA应该
使用
哪个O
浏览 0
提问于2017-10-04
得票数 3
回答已采纳
1
回答
有了+ Azure B2C,是否有可能
保护
单个
Web
并让多个本地应用程序
使用
它?
azure
、
asp.net-web-api2
、
azure-web-app-service
、
azure-ad-b2c
我们有一个
Web
,旨在为多个业务伙伴服务,每个业务伙伴都将自定义本地应用程序
客户端
的
白标签版本。 我们还有一个
Web
,
为
不同
的
应用程序提供共同
的
功能。我们希望
使用
AD B2C作为标识和auth系统,但无法看到如何或是否有可能
使用
AD B2C来
保护
多个应用程序
的
公共
API
。这能实现吗?
浏览 2
提问于2017-04-21
得票数 2
回答已采纳
3
回答
保护
api
免受重放攻击
iphone
、
security
、
api
我正在写一个
api
。该
api
将由iphone应用程序
使用
。我在考虑在每次请求时更新
c
浏览 2
提问于2011-01-21
得票数 1
2
回答
OAuth和OpenId连接令牌
的
澄清
security
、
oauth-2.0
、
jwt
、
openid-connect
我做了一些关于OAuth和OpenId连接
的
坚实研究。但我仍然不完全确定什么以及如何
保护
每一个令牌。让我们暂时搁置刷新令牌,重点讨论ID令牌和访问令牌。从安全
的
角度来看,两者必须被同等对待。它们不能泄漏
公共
信息,因此只能与HTTPS一起
使用
,并避免在
客户端
使用
不受
保护
的
读取/
使用
的
存储。由此,我假设我只能
使用
httpOnly
cookie
(XSS、CR
浏览 7
提问于2021-05-12
得票数 0
回答已采纳
1
回答
SPA中刷新令牌
Cookie
的
CSRF
保护
javascript
、
angularjs
、
security
、
oauth-2.0
、
csrf
有几篇文章(,.)
的
答案是,我们不应该在(
web
)
客户端
(LocalStorage)上存储刷新令牌,而是将它们存储在HttpOnly
Cookie
中,并
使用
代理
API
实现refreh令牌
的
解密,从而将其转发到安全令牌服务大多数文章都暗示我们应该通过
使用
一种常见
的
保护
机制来关心CSRF。我想知道在一个页面应用程序中什么是最好
的
解决方案。没有访问令牌或
cookie
可用,我们必须用用户名
浏览 6
提问于2015-06-03
得票数 9
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
苹果完全屏蔽第三方Cookie,七天清空本地存储
下一个大型网络攻击向量将或是API
API或将成为下一个大型网络攻击向量!
Session和Cookie的区别
网络攻击新载体:API
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券