Uwierzytelnienie to czynność udowadniająca swoją tożsamość innemu podmiotowi. Typowe przykłady obejmują kryptografię klucza publicznego. Na przykład udowadniając, że witryna internetowa banku należy do banku, o którym myślisz, że należy.
Chcę udostępnić zasób w sieci. Chcę chronić ten zasób: aby upewnić się, że jest on dostępny tylko dla niektórych osób. Mogę skonfigurować uwierzytelnianie oparte na haśle . Na przykład mogłem zezwolić na dostęp do zasobu tylko za pośrednictwem serwera WWW, który sprawdza przychodzące żądania...
Czy pobieranie odcisków palców przez przeglądarkę jest wystarczającą metodą jednoznacznej identyfikacji anonimowych użytkowników? Co się stanie, jeśli uwzględnisz dane biometryczne, takie jak gesty myszy lub wzorce pisania? Innego dnia natknąłem się na eksperyment Panopticlick EFF działa na...
Nie rozumiem powodu, dla którego oświadczenia / ładunek JWT są publicznie widoczne po odkodowaniu go przez base64. Czemu? Wydaje się, że znacznie bardziej przydatne byłoby zaszyfrowanie go sekretem. Czy ktoś może wyjaśnić, dlaczego lub w jakiej sytuacji upublicznienie tych danych jest...
Czytałem o uwierzytelnieniach i mylę się co do klasyfikacji typów. Zacznijmy od uwierzytelniania opartego na plikach cookie. Jeśli dobrze to rozumiem, najważniejsze jest to, że wszystkie dane potrzebne do uwierzytelnienia użytkownika są przechowywane w plikach cookie. I to jest moje pierwsze...
Do mojej pracy mamy niezłą usługę RESTful, którą zbudowaliśmy i używamy do prowadzenia kilku stron internetowych. Zasadniczo usługa internetowa pozwala tworzyć i obsługiwać zgłoszenia do pomocy technicznej, a strona internetowa jest odpowiedzialna za interfejs. Wszelkie żądania usług sieciowych...
Projektuję interfejs API REST przy użyciu autoryzacji / uwierzytelnienia za pomocą klucza API. Próbowałem dowiedzieć się, jakie jest dla niego najlepsze miejsce i odkryłem, że wiele osób sugeruje użycie niestandardowego nagłówka HTTP, takiego jak ProjectName-Api-Keynp .: ProjectName-Api-Key:...
Korzystam z tokenów JWT w nagłówkach HTTP do uwierzytelniania żądań do serwera zasobów. Serwer zasobów i serwer uwierzytelniania to dwie osobne role robocze na platformie Azure. Nie mogę się zdecydować, czy mam przechowywać roszczenia w tokenie, czy dołączyć je do żądania / odpowiedzi w inny...
Mam zainstalowany system Windows 10 z Git. Ten Git używa mojego C:/Users/MyNamekatalogu jako katalogu HOME i katalogu /.ssh/wewnątrz, odpowiednio do pozyskiwania moich prywatnych kluczy SSH. Właśnie włączyłem i skonfigurowałem „Bash na Ubuntu w systemie Windows” (co za kęs!) I zainstalowałem tam...
Buduję interfejs API RESTful, który korzysta z tokenów JWT do uwierzytelniania użytkowników (wydawanych przez loginpunkt końcowy i wysyłanych we wszystkich nagłówkach później), a tokeny należy odświeżyć po ustalonym czasie (wywoływanie renewpunktu końcowego, który zwraca odnowiony token ). Możliwe...
Gdy interfejs API wymaga uwierzytelnienia klienta, widziałem dwa różne scenariusze i zastanawiam się, który przypadek powinienem zastosować w mojej sytuacji. Przykład 1. Firma oferuje interfejs API, aby umożliwić stronom trzecim uwierzytelnianie za pomocą tokena i tajnego przy użyciu HTTP...
Wkrótce zaczynam nowy projekt, który dotyczy aplikacji mobilnych na wszystkie główne platformy mobilne (iOS, Android, Windows). Będzie to architektura klient-serwer. Aplikacja ma zarówno charakter informacyjny, jak i transakcyjny. W przypadku części transakcyjnej muszą mieć konto i zalogować się,...
Właśnie przeczytałem ten artykuł, który ma kilka lat, ale opisuje sprytny sposób zabezpieczenia interfejsów API REST. Głównie: Każdy klient ma unikalną parę kluczy publiczny / prywatny Tylko klient i serwer znają klucz prywatny; nigdy nie jest przesyłany za pośrednictwem drutu Przy każdym żądaniu...
Planujemy przekształcić system naszej firmy w system oparty na mikrousługach. Z tych mikro-usług będą korzystać nasze własne wewnętrzne aplikacje firmy oraz w razie potrzeby partnerzy zewnętrzni. Jeden do rezerwacji, drugi do produktów itp. Nie jesteśmy pewni, jak radzić sobie z rolami i...
Rozumiem PKI dość dobrze z koncepcyjnego punktu widzenia - tj. Kluczy prywatnych / kluczy publicznych - matematyki za nimi, użycia skrótu i szyfrowania do podpisania certyfikatu, cyfrowego podpisywania transakcji lub dokumentów itp. Pracowałem również nad projektami, w których openssl Biblioteki...
Tworzę aplikację, która będzie obsługiwać wielu użytkowników. Chodzi o to, że nie jestem w stanie dowiedzieć się, jak uwierzytelnić klienta / użytkownika. Tworzę aplikację, taką jak http://quickblox.com/, w której podam poświadczenia moim użytkownikom, którzy wykorzystają je do zbudowania...
Chcę wdrożyć bardziej niezawodną usługę uwierzytelniania i jwtjest to duża część tego, co chcę zrobić, i rozumiem, jak napisać kod, ale mam trochę problemów ze zrozumieniem różnicy między zastrzeżeniem issa audroszczeniami. Rozumiem, że ten definiuje serwer, który wydaje token, a ten odnosi się do...
Potrzebuję pomysłów na ochronę prywatnego klucza API w aplikacji, szczególnie w aplikacji ac # .NET. Po pierwsze, rozumiem, że teoretycznie niemożliwe jest ukrycie czegokolwiek w kodzie źródłowym, więc wpadłem na inny pomysł, ale nie jestem pewien, czy jest to prawdopodobne. W każdym razie, czy da...
Dzisiaj otrzymałem pytanie od mojego kierownika, które zadaje mi moje przemyślenia na temat tego, co uważa się za akceptowalny projekt do uwierzytelniania aplikacji formularza internetowego, szczególnie w odniesieniu do charakteru wielu popularnych przeglądarek, aby „Zapamiętaj hasło” w polach...
Czytam o uwierzytelnianiu / autoryzacji w aplikacjach internetowych. Czy ktoś może potwierdzić / poprawić moją obecną wiedzę? Pliki cookie: we wczesnej wersji plik tekstowy z unikalnym klientem zawiera wszystkie inne informacje potrzebne na temat klienta (np. Role) Sesja: w pliku wysyłany jest...
Czy to nadmierna inżynieria, jeśli dodam ochronę przed umyślnym wykroczeniem użytkownika (delikatnie mówiąc), jeśli szkoda, którą może ponieść użytkownik, nie jest związana z moim kodem? Aby to wyjaśnić, udostępniam prostą usługę JSON RESTful, taką jak ta: GET /items - to retrieve list of user's...