https带有令牌参数的URL:它有多安全?
在云计算领域,安全性是非常重要的考虑因素。在讨论URL中带有令牌参数的HTTPS安全性时,我们需要考虑以下几个方面:
- 数据加密:使用HTTPS可以确保数据在传输过程中的安全性。HTTPS使用SSL/TLS协议对数据进行加密,以防止数据被第三方截获。
- 令牌参数安全性:在URL中带有令牌参数可能会导致安全风险。令牌参数可能会泄露给第三方,从而被盗用或滥用。例如,如果令牌参数包含敏感信息,如密码或身份验证令牌,那么这些信息可能会被泄露。
- 令牌过期策略:为了增加安全性,可以设置令牌的过期时间。这样,即使令牌被泄露,它也只能在有限的时间内被使用。
- 使用安全的令牌生成方法:生成令牌时,应使用安全的方法,如OAuth 2.0。这可以确保令牌的安全性和有效性。
- 使用安全的URL传输方法:在传输URL时,应使用安全的方法,如电子邮件加密或使用安全的即时通讯工具。
综上所述,带有令牌参数的HTTPS URL在安全性方面存在一定的风险。为了确保最大程度的安全性,应该采取措施减少令牌参数的使用,并使用安全的方法生成和传输令牌。同时,应该定期审查和更新安全策略,以确保系统的安全性。
相关·内容
2回答
下面是我的两个URL的小API:
/api/location/list -> GET
/api/location/detail -> GET
我正在寻找一个使用身份验证来保护此服务的进程。目前,它只能由一个用户(me)访问。
我认为oAuth在我的例子中太复杂了,我找到了用于设计的资源。我明白私钥和私钥的原则,但我很关注这个问题:
假设我的webservice被一个带有GET动词的ajax请求所使用。我有个类似/api/location/list?apikkey=userid&hash=abcde的东西。最终用户可以轻松地在请求期间嗅探网络(通过简单的铬控制
浏览 5提问于2015-11-26得票数 1
2回答
我有一个带有WebAPI的页面应用程序(SPA),为了进行身份验证/授权,我使用OpenId连接,特别是在客户机上使用带有OidcTokenManager的IdentityServer3。
因此,我的SPA可以通过在授权头中传递对WebAPI的所有请求的访问/承载令牌来与服务器进行良好的对话。
即授权:持票人
应用程序还将文件从WebAPI嵌入到页面中。主要是svg,pdf等。为此,我使用一个对象标记。这不起作用,因为WebAPI要求授权头中的Bearer授权请求。当对象标记加载文件时,我仍然找不到将承载令牌作为请求头传递。
当对象标记请求文件时,有人知道我如何传递授权头吗?
浏览 4提问于2015-09-29得票数 3
回答已采纳
我正在尝试在一个网站的多个位置实现Payflow Pro的透明重定向。主购买页面已经设置好,并使用了在PayPal管理员帐户中设置的returnurl _nol值、errorurl值、silentposturl值。然而,我真的很想为交易也发生的网站的其他地区设置不同的返回urls。
我知道安全令牌请求允许您设置返回、错误、取消和静默发布urls的值,这些urls将覆盖Manager帐户设置,但我似乎无法做到这一点。
我们的安全令牌请求使用php/cURL,我能够成功地请求令牌并在测试事务中使用它,但仍然会被重定向回Manager帐户中定义的返回url,而不是我在安全令牌请求中定义的url。我想
浏览 5提问于2014-05-07得票数 1
我有一个简单的Firebase实时数据库,只是PUT/GET。一切都很好。但保安让我很困惑。
我想确保只有我的应用程序(带有身份验证)使用数据库。抓到的是?auth=
https://<firebase url>/samarkand/<userID>/appState.json?auth=
我使用的可能是我自己的userID,而不是Firebase id_token (这是很大的)。这是个错误吗?
对auth=有效的是我的Firebase数据库机密,但是显示它的页面列表是不推荐的。我尝试使用从登录返回的access_token、id_token、serverAuthCo
浏览 1提问于2022-10-11得票数 0
我有一个项目网站,前端是角8,后端是Springboot Rest。我有一个功能,允许用户重置他们的密码。
当用户启动更改密码时,用户接收带有id和令牌的电子邮件。我的springboot项目发送一封电子邮件,其中包含生成的URL链接:e.g. https://mylocalhost:8080/password/user?id=1111&token=1234335345mcjf
此链接是从后端端生成的。代币只活了30分钟左右。
我的问题是显示标记ID的URL。我的问题是:
我不确定这种方法是否安全,因为令牌被显示为参数。:(
是否可以将令牌和用户Id作为对象传递,而不是作为前端
浏览 0提问于2019-08-06得票数 1
只要每个api方法调用都在url中使用,电报bot令牌是否安全?有人在电报服务器上偷电报令牌有危险吗?
或者换句话说: SSL是否对url本身进行加密?
浏览 4提问于2015-08-31得票数 2
回答已采纳
我正在编码一个网络应用程序(电子商务)为学习目的使用AngularJS + BootStrap和REST。我已经将Apache Wink用于REST WS,并且应用程序部署在JBoss EAP6.4上。我的应用程序运行得很好。
我可以使用AJAX访问后端数据,并正确填充网页。问题是REST曾经的安全性。如果我直接在浏览器上使用REST URL,而不经过前端,JSON数据就会被填充,我的数据就会暴露出来。我应该做哪些设计更改?
请注意,网站上的初始操作是无状态的,例如浏览产品、将产品添加到购物车等。这些操作不需要用户身份。我仍然需要为这些交互保护我的数据。请建议,我该怎么做呢?
Sunil
浏览 2提问于2015-06-24得票数 0
我正在开发一个使用REST .NET web的Web应用程序。我的web是无状态的,我使用的是静态的HTML和JQuery请求。
问题..。做登录/密码修改的最好方法是什么?
申请流程:
API XHR请求
状态401的API响应
重定向到登录页面
API身份验证XHR请求(带有登录和密码)
带有令牌的API响应
新的API XHR请求(带有令牌)
API响应与数据
浏览 1提问于2013-04-04得票数 3
回答已采纳
我使用组件模式在AngularJS中使用TypeScript和组件路由器构建了一个Range1.6应用程序。
现在,我试图使用ADAL库和接受承载令牌的安全API对AzureAD进行身份验证。
在我用AngularJS 1.3构建的当前应用程序中,我以非常标准的方式使用ADAL,并使用StateProvider的RequireAdLogin属性对资源(API)进行身份验证:
var homeState = {
url: "/",
requireADLogin: true
};
这很好,但是现在我使用的是带有角ui路由器的组件路由器(带有@Types/
浏览 1提问于2017-10-20得票数 2
回答已采纳
我正在构建oauth登录流,我不确定是否做错了,因为我需要通过重定向URL将承载令牌发回,比如/OAuth2/重定向? token =TOKEN。但是,不建议通过URL传递令牌吗?正如本所指出的
不要在页面URL中传递承载令牌:承载令牌不应该在页面URL中传递(例如,作为查询字符串参数).Instead,承载令牌应该在采用保密措施的headers或消息正文中传递。浏览器、web服务器和其他软件可能无法充分保护浏览器历史记录、web服务器日志和其他数据结构中的URL。如果在页面URL中传递无记名令牌,攻击者可能能够从历史数据、日志或其他不安全位置窃取它们。
在整个过程中,我一定是错过了什么,我
浏览 1提问于2020-10-14得票数 3
回答已采纳
1回答
场景:在我的站点上启动一个会话时,我生成一个rand令牌,该令牌只向用户显示一次。他们说他们把它“储存”起来以备后用。然后,将md5(令牌)插入带有时间戳的SQL中。当用户访问其他页面时,作为验证过程的一部分,他们必须通过URL传递令牌。我将检查该令牌是否存在,并可能将userid更新为该令牌。
所以。即使有人窃取了用户的PHPSESSID cookie,这对黑客来说不是有什么好处吗?因为他们不知道令牌就无法访问这些页面。
浏览 0提问于2011-05-01得票数 0
1回答
我使用Security Oauth2客户端和Keycloak作为身份提供程序。
我的应用程序将被部署到多个域,我们希望使用Keycloak的单个实例。
我已经在一个单独的实例中设置了两个领域,将它们作为不同的租户对待。
在application.properties中,我为两个房客设置了房产-
但是,为什么具有URl-的应用程序1会重定向到keycloak 1,而同样地,对于具有URl-的应用程序2,将重定向到keycloak 2。
server.port=8300
spring.security.oauth2.client.registration.demo1.client-name=spr
浏览 9提问于2021-07-13得票数 0
1回答
白标平台的安全共享登录
、、、
场景-
假设我有一个网站- www.example.com。我想为不同的客户给它贴上白标。因此,转到example.customer1.com应该会显示带有不同徽标、名称等自定义设置的www.example.com。我选择通过CNAME和filters来实现这一点,这个设置目前运行良好。
其中一个要求是用户帐户应在所有客户站点之间共享。因此example.customer1.com上帐户应该在www.example.com上有效
考虑到登录页面应该是https,并且客户不打算向我提供他们的SSL证书和私钥,我选择了通过从重定向到来执行登录。
在成功登录www.example.com后,我希望将
浏览 0提问于2015-09-09得票数 1
这个问题类似于。
但是,在本例中,我专门指的是https,而不是http。
如果连接是用https加密的,我看不出Jwt怎么会比http post更容易受到破坏。
我确实同意,最好是尽可能多地使用过期、单次使用等方式锁定Jwt,但在我的情况下,我别无选择,只能将其放在url中,因为我不能使用post。但我真的看不出这篇文章对安全有什么好处。
浏览 0提问于2018-05-05得票数 1
回答已采纳
我使用Spotify授权代码流作为节点后端,授权用户访问使用spotify API的前端web应用程序。因为我的前端和后端是分开的,所以后端有一个‘/回调’端点,在用户身份验证后到达。‘/回调’然后以access_token和refresh_token作为查询参数重定向到我的前端应用程序URL。在URL中公开access_token和refresh_token是出于安全考虑吗?如果是的话,我还有其他选择吗?
我的前端应用程序URL看起来如下所示:
localhost:8000/play?access_token=<some_access_token>&refresh_tok
浏览 3提问于2021-12-24得票数 1
1回答
我有使用AJAX技术的表单,想知道哪些安全问题可能会出现。
我知道站点上的所有表单(带有POST、PUT、DELETE方法)都应该有CSRF令牌。(这对登录或注册表单有意义吗?)
我想给你提供一些代码(最简单的代码),让问题变得更大:
<form action="" method="" id="login-form">
<input type="email" required="required" placeholder="example" id="
浏览 0提问于2018-01-30得票数 0
2回答
我必须实现安全的。我已经用谷歌做了一些研究,但我被困住了。
选项:
TLS (HTTPS) +
HTTP (pc1oad1etter)HTTP摘要 client证书(使用和的Tom Ritter和请求
是否有更多可能的选择需要考虑?如果是OAuth,那么是什么版本?这有什么关系吗?到目前为止,我所读到的带有不记名令牌(即没有签名)的似乎是。
我在上找到了另一篇非常有趣的文章。
浏览 32提问于2011-01-27得票数 88
回答已采纳
我正在开发一个使用Codeigniter和Oauth2 (Alex Bilbies库)的应用程序接口。我的iPhone应用程序正在使用该API。对于每个请求,我需要将访问令牌作为URL中的参数发送。有没有办法在标头中发送令牌?来避免它被“曝光”?
感谢所有的输入!
浏览 1提问于2012-02-12得票数 0
2回答
我有一个使用ASP.NET web 2的现有web,它有自己的基于令牌的x-auth-token身份验证。
我想将Azure逻辑应用程序添加到现有的API中,但是逻辑应用程序必须使用该API进行身份验证。Azure AD,Facebook,Google..。不是一种选择。
这个是可能的吗?多么?
浏览 6提问于2016-06-23得票数 0
回答已采纳
我们正在使用Azure blob存储存储非结构化内容。
我们的设置如下
Our Browser client(accessing files) -> Our Backend (our cloud platform) -> Proxy managing Azure account (our cloud platform)-> Azure blob storage.
管理Azure帐户的代理具有帐户凭据。它生成一个SAS令牌,并提供给消费者,就像我们的后端。此SAS令牌具有无限的过期时间。
现在,我们从后端生成一个带有过期时间的预签名url (S3的类似概念),并提供给浏览器客户
浏览 2提问于2021-05-23得票数 0
回答已采纳
因此,我可以使用API调用如下:
https://api.stackexchange.com/2.2/questions?pagesize=30&order=desc&sort=activity&site=stackoverflow
若要显示问题列表,请执行以下操作。这很容易,因为它不要求使用请求的accesstoken。
现在,我决定升级并获取与登录用户相关的数据。当然,它将要求accesstoken授权请求。
如何仅使用JS + HTML代码来实现这一点?
我知道如何在用户通过身份验证后获取accesstoken:
var = myAccessToken;
浏览 0提问于2018-01-31得票数 4
回答已采纳
我的restful服务有一个user对象,它有一个userid和一个密码。它只是用于授权的东西。我应该像/user/{id}那样将其作为资源,还是只将其放在HashMap中?
浏览 0提问于2012-04-01得票数 2
回答已采纳
1回答
我对春季安全问题非常陌生,因此也就提出了这个问题。
如果使用带有spring安全性的默认oauth实现,则使用以下方法:
http://localhost:8080/test-api/oauth/token?grant_type=implicit&client_id=test-app&client_secret=mysec1&username=user&password=password
我正确地理解,在本例中,所有用户名、密码、凭据都将在URL.Is中可见--它不是一个安全risk.Is --如果所有这些都作为post参数传递的话,情况就不太好了。
如有任何帮
浏览 3提问于2014-09-11得票数 2
回答已采纳
我正在努力学习api,我认为使用instagram api将是一个很好的学习测试。我发出了一个ajax调用,循环遍历我的图像,并将它们放在一个图像标记中。当我去控制台的时候,我得到了这个不知名的TypeError。当在for循环中有这样的代码用于var i=0;i< response.data.length;i++ Uncaught TypeError:无法读取未定义显示的属性'length‘。
$.ajax({
type: 'GET',
dataType: 'jsonp',
contentType: "application/
浏览 6提问于2015-01-28得票数 0
我正在尝试将第三方(TP) app ()集成到react/node.js应用程序中。API使用OAuth 2进行身份验证和身份验证之后的验证。
操作的顺序是这样的-用户单击我的react应用程序上的TP图像,然后被重定向到TP的登录页面。身份验证之后,TP使用表单post进行重定向。根据我目前的理解,只有后端服务器可以承载post方法,TP可以在其中发布表单。从这里开始,还不清楚如何触发react应用程序来检测用户是否登录并呈现他们的仪表板。
我有两个问题:
假设我将一个前端URL注册为重定向URL,有什么方法可以在前端捕获这个表单帖子?如果1号不可能,那么在后端接收重定向之后,让前端知道登录
浏览 1提问于2021-08-04得票数 1
回答已采纳
1回答
我正在使用iOS开发一个内部企业应用程序,并且有点担心安全性。如果任何人截获包含IPA文件的URL,则他们将能够下载和使用该文件。有没有办法让它更安全呢?我知道我可以把链接放在登录系统后面,但是如果有人复制URL并分享它,其他人就可以下载了。
manifest.plist“>安装应用程序
浏览 2提问于2017-07-31得票数 1
1回答
我正在使用Azure进行身份验证和OpenId连接的许可。
我不明白为什么我会收到一个没有IdToken签名的JWT 和来自Azure的带有签名的AccessToken 。这可能是因为为alg=none设置了“IdToken”属性。但是为什么不也签署IdToken呢?
浏览 0提问于2016-01-12得票数 2
回答已采纳
2回答
Three20与问题
、、、
我正在尝试使用Three20 Facebook示例应用程序以及Facebook (以验证和获取访问令牌)。对于TTURLRequest,我使用以下代码:
- (void)load:(TTURLRequestCachePolicy)cachePolicy more:(BOOL)more {
if (!self.isLoading && TTIsStringWithAnyText(_query)) {
NSString* url = _query;
NSLog(@"load:%@:", url);
TTURLRequest* reque
浏览 4提问于2011-03-10得票数 0
回答已采纳
1回答
我试图在NextJS中刷新服务器上的用户令牌,目前我在cookie中设置了令牌,我可以这样访问:
export async function getServerSideProps(ctx) {
const cookies = nookies.get(ctx);
try {
const client = useClient(cookies.token);
// etc
}
}
不幸的是,如果令牌已过期,这将失败,因为令牌已过期错误。
我确实可以访问刷新令牌,但不确定如何使用它,firebase.auth().currentUser也未在getSer
浏览 5提问于2021-06-20得票数 0
回答已采纳
我正在为我正在构建的网站编写一个RESTful API,它有使用用户权限的方法。例如,我有一个名为removeResource(resource_id: int, user: string)的方法。更大的管道是名为API方法的用户登录,该方法检查他们的用户名和密码,如果他们的密码是正确的,则返回带有用户id的加密字符串。加密和解密是在API端使用Fernet对称加密(https://cryptography.io/en/latest/fernet.html)完成的。用户拥有为其允许的操作设置的权限。
我担心有人试图进行API调用时,他们没有权限,所以我也发送加密的用户id与每个API调用需要权
浏览 0提问于2021-04-10得票数 0
我目前正在做第一次忘记密码功能,这是到目前为止的代码。 为具有带有JWT令牌的URL的用户发送电子邮件 router.post('/change- password ',verifyAuth,resetPassword);接收并确认JWT,然后更改密码 router.post('/change-password/:token/:password',confirmResetPassword);我当前正在考虑的流程在我发送给用户的电子邮件中 http://localhost:3000/change-passowrd?token=TOKEN_VALUE但是我不确定这
浏览 13提问于2021-06-19得票数 1
回答已采纳
6回答
如何安全地存储散列?
、、、、
当用户想要重新设置密码时,就会发送带有唯一URL的电子邮件,这样他就可以重新设置它。像这样: website.com/forgot.php?email'.$email.'&hash='.$thehash
$thehash是存储在数据库中的每个用户的唯一哈希。
问题是,$thehash存储在数据库中的方式与它在URL中的使用方式相同。这就像用纯文本存储密码一样愚蠢。如果有人可以访问数据库,那么我的密码与sha512和安全盐一起存储并不重要,攻击者可以使用数据库中的所有值(电子邮件和散列)访问所有帐户,并为用户更改密码。
当我对用户密码进行散列时,用户有一部分信息在
浏览 7提问于2014-03-24得票数 0
回答已采纳
1回答
我正在构建这个多租赁应用程序的节点/蒙鹅+反应。我决定为所有用户建立一个单一的数据库。
我有一个名为companies的顶级集合,它存储公司的基本数据,并有一个company_id。
其他集合(如users、inventory等)中的条目通过此id引用它们所属的公司。例如,用户模式如下所示:
const UserSchema: mongoose.Schema = new mongoose.Schema({
email: {
type: String,
required: true,
},
password: { type: String, required: true, s
浏览 1提问于2020-06-14得票数 0
我有:
身份服务器4,
带有OpenId连接和混合流的Mvc应用程序
WebApi应用程序
假设用户已经获得了带有id_token和访问令牌的cookie。然后,他从mvc应用程序调用一个动作:
var client = new HttpClient();
client.SetBearerToken(accessToken);
// call webapi from mvc
var content = await client.GetStringAsync("http://localhost:5001/api/resource-with-policy"
浏览 3提问于2019-12-09得票数 2
回答已采纳
1回答
我是Django的新手,很好奇Rest框架的身份验证是如何工作的。 因此,据我所知,身份验证的流程是:前端发送带有用户名和密码的请求>后端(Django)发送回令牌>然后前端在报头中发送该令牌进行身份验证。 但是因为任何人都可以看到我发送的报头,所以这怎么安全呢?
浏览 11提问于2019-12-17得票数 1
2回答
我有多个公司使用我的GET端点,每个公司都需要有自己的API密钥,他们将提供作为url参数。
每当有新公司加入时,我都需要不断生成这些令牌(有一个表格反映了这一点)。
是否安全:-创建company_token数据透视表-生成令牌为str_random(32) (因为GET请求可能具有最大url长度)
?还是有更安全、更好的方法?
浏览 0提问于2020-02-16得票数 0
我有两个门户(都在我的控制之下&域名是不同的)
在第一门户,有一个链接的点击,用户可以直接登录到第二个门户。
链接,将在第一个门户中访问,以登录到第二个门户,如下所示(A GET)
https://SecondPortalDomain/someServlet?param1=base64Encoded
这个URL有一些问题,比如它可以被缓存和书签。另外,如果一个用户没有被认证到我的第一个门户,但是直接点击上面的URL,那么他也可以登录(违背我的意愿)。
因此,我正在考虑使用推荐人进行检查。如果源URL是这样的,那么只允许登录。
与验证源和目标之间的校验和相比,使用Referer有多强?R
浏览 0提问于2013-04-30得票数 2
回答已采纳
1回答
如果这是一个真正的问题,我很抱歉,但是我们有一个带有IIS的服务器,它有一个证书,它有一个私钥,mysite.domain.com。
我想为我的网站启用SSL并在IIS中要求客户端证书。
我是否正确地认为,我会导出这个证书作为一个.CER,并把它给谁谁想访问我的网站?然后他们就把它放到他们的证书商店里(我想它应该是在正确的地方)?
或者还有其他的步骤?证书路径显示有两个更高级的证书,TeleSec Business CA 1和T-TeleSec GlobalRoot Class 2。我也需要对这些证书做些什么吗?
恐怕我是一个开发人员,而不是服务器管理员。非常感谢。
编辑:我将详细说明,基本上
浏览 0提问于2019-11-13得票数 1
1回答
我想保护我的应用程序免受跨站点请求伪造(CSRF)攻击,所以我将其添加到我的
applicationContext.xml:
<security:global-method-security secured-annotations="enabled" />
<security:http auto-config="true">
<security:csrf/>
<security:intercept-url pattern="/**"
浏览 3提问于2015-11-23得票数 0
回答已采纳
我正在尝试开发一个使用Nest的本地OS应用程序。不幸的是,他们的客户端注册只接受"https://“URL”作为重定向URL。由于没有服务器参与其中(除了Nest的服务器),我需要重定向到我的应用程序。为此,我需要能够重定向到任意的URI。
我试图将反馈直接发送到Nest,但他们似乎没有支持联系人或错误报告。
对于这种类型的使用,我是否遗漏了其他身份验证方法?在iOS上也存在类似的问题。
谢谢!
浏览 4提问于2014-08-06得票数 3
回答已采纳
1回答
我们正在尝试创建一个使用团队、Flow和Assembla的审批工作流,并且遇到了一些麻烦。
我们已经成功地设置了几个部分,但是我们无法从一张卡片的团队中启动一个POST操作。
在团队中,我们可以使用传入的web钩子连接器成功地创建一张卡片。
这是使用流中的POST操作创建的以下JSON主体
{
"@@type": "MessageCard",
"@@context": "http://schema.org/extensions",
"summary": "This is the
浏览 3提问于2017-09-18得票数 8
回答已采纳
1回答
我在Azure上创建了一个多租户应用程序,并发送请求获取带有应用程序客户Id的令牌。我使用以下URL获取Microsoft上的令牌
发送带有参数client_id={clientId}&response_type=token&scope=user.read+openid+profile+offline_access的get请求
但是,它在给定的回调url上返回一个access_token。
如何验证此访问令牌?或者如何获得JWT令牌呢?
浏览 0提问于2021-06-19得票数 0
我目前正在使用Firebase对我的应用程序进行身份验证。根据,每次需要发出HTTP请求时,我都会向NodeJS后端发送ID令牌。在服务器端,我只需解码ID令牌并使用相关数据。
我的问题是,通过URL参数将Firebase令牌从前端发送到服务器是否安全?
浏览 1提问于2018-02-06得票数 1
回答已采纳
1回答
我想提供一个可以嵌入到其他网站的web服务--现在我需要一个保护嵌入的解决方案--这样只有允许服务器才能嵌入页面.
您认为嵌入页面(它是php脚本)的最佳方法是什么?
保护它的最好方法是什么?
我尝试过一些东西,比如iframe嵌入和php $_SERVER['HTTP_REFERER']保护(这并不是真正的保存;)
有谁有更好的主意吗?Javascript,htaccess,.
浏览 2提问于2014-10-14得票数 0
回答已采纳
你好,我收到下面的错误。
AADSTS70011:为输入参数“作用域”提供的值无效。\r\n跟踪ID: 5c5ced96-67a8-4c02-8b24-755e69b07f00\r\nCorrelation ID: 36d8e66d-fbf8-454d-95d6-0a0ad5f70836\r\nTimestamp: 2022-10-06 11:46:44Z
我打电话给Auth URL
我正在成功地获得重定向URl上的代码。但是,当我调用访问令牌post url时,我得到了一个错误。
下面是令牌URL响应
{“错误”:"invalid_scope","err
浏览 5提问于2022-10-06得票数 0
2回答
我使用的是微软图形API。我成功地使用了令牌身份验证。为了下载文件,我向https://graph.microsoft.com/v1.0/me/drive/items/{item_id_here}/发出一个请求(报头中带有令牌),然后获取一个@microsoftgraph_downloadurl。然后我可以在没有任何authorization头的情况下ajax到这个url,文档说明这个链接只是临时的。 我的问题是,即使链接是临时的,这不是仍然非常不安全吗?为什么我不能写一个脚本来测试随机的@microsoftgraph_downloadurls,直到它在那个时间窗口内命中一个,然后我窃取了某
浏览 23提问于2018-12-27得票数 1
2回答
我想从另一个应用程序中安装一个应用程序。我知道使用以下代码是可能的:
NSURL *url = [NSURL URLWithString:[NSString stringWithFormat:@"%@%@",@"itms-services://?action=download-manifest&url=",self.plistURL]];
[[UIApplication sharedApplication] openURL:url];
我的问题是,.plist位于服务器上的一个区域,用户必须输入用户凭据才能访问它。因此,当我执行这段代码时,用户会被要求提
浏览 4提问于2014-02-02得票数 1
回答已采纳
1回答
假设我有一个API服务,端点是api.com/api。现在,客户机有一个CLIENT_ID,它包含在URL (例如: abc.com/api/name=Hello& client _ID=xxx)中,用于服务器端的客户端授权。授权后,API将返回响应。但是,这个特定的url也可能会在中间被截获,这暴露了CLIENT_ID。我的问题是,Rest如何确保客户端被授权,并且只发送响应给授权的客户端,也就是我。谢谢你提前了。
浏览 1提问于2018-10-11得票数 0
回答已采纳
2回答
我正在阅读网站Oauth.com,试图理解如何在单页面应用程序中实现安全性,这时我发现了以下声明:
“保护没有客户端机密的授权码授予的唯一方法是使用”“state”“参数并将重定向URL限制为受信任的客户端。由于未使用机密,因此除了使用注册的重定向URL外,没有其他方法可以验证客户端的身份。”
如果我理解正确,他说我可以使用注册重定向URL验证我的SPA的身份。
问题1:如果我将授权码重定向到url (web服务器),如何在浏览器中运行的SPA中找回它(或访问令牌或受保护的资源)?
问题2:可以在此注册的url中执行哪种检查来验证我的SPA身份?
浏览 1提问于2020-08-21得票数 0
我想通过REST从Azure DevOps服务器获得所有补丁(在前提下)。REST文档只显示对带有此URI的Azure DevOps服务(宿主)的访问
如何访问安全区域(身份、帐户等)通过在Azure DevOps服务器中的REST?
浏览 16提问于2022-09-30得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
