Вопросы с тегом «authentication»

Аутентификация - это действие одного объекта, подтверждающее его идентичность другому объекту. Типичные примеры включают криптографию с открытым ключом. Например, доказательство того, что банковский веб-сайт действительно принадлежит банку, который, по вашему мнению, принадлежит.

128
Являются ли частные, не угадываемые URL-адреса эквивалентными аутентификации на основе пароля?

Я хочу выставить ресурс в сети. Я хочу защитить этот ресурс: убедиться, что он доступен только определенным лицам. Я мог бы установить некоторую аутентификацию на основе пароля . Например, я мог бы разрешить доступ к ресурсу только через веб-сервер, который проверяет входящие запросы на...

96
Является ли снятие отпечатков пальцев браузером жизнеспособной техникой для идентификации анонимных пользователей?

Является ли снятие отпечатков в браузере достаточным методом для уникальной идентификации анонимных пользователей? Что, если вы включите биометрические данные, такие как жесты мыши или шаблоны печатания? На днях я столкнулся с экспериментом Panopticlick, который EFF запускает на отпечатках браузера...

30
JSON Web Token - почему полезная нагрузка общедоступна?

Я не могу понять причины, по которым заявления / полезные данные JWT становятся публично видимыми после их декодирования в base64. Зачем? Кажется, было бы гораздо полезнее зашифровать его с помощью секрета. Может кто-нибудь объяснить, почему или в какой ситуации полезно хранить эти...

25
На основе файлов cookie, сеансов, токенов и аутентификаций на основе утверждений.

Я читал об аутентификациях и запутался в классификации типов. Начнем с проверки подлинности на основе файлов cookie. Если я правильно понимаю, ключевой момент заключается в том, что все данные, необходимые для проверки подлинности пользователя, хранятся в файлах cookie. И это моя первая путаница: в...

25
Как мне спроектировать веб-сервис RESTful, чтобы использовать стороннюю систему (например, Google, Facebook, Twitter) для аутентификации?

Для моей работы у нас есть хороший веб-сервис RESTful, который мы используем для управления несколькими веб-сайтами, которые у нас есть. По сути, веб-сервис позволяет создавать заявки на поддержку и работать с ними, а веб-сайт отвечает за интерфейс. Любые запросы веб-сервиса используют заголовок...

18
Где разместить ключ API: пользовательский заголовок HTTP против заголовка авторизации с пользовательской схемой

Я разрабатываю REST API, используя авторизацию / аутентификацию через ключ API. Я попытался выяснить, что является лучшим местом для этого, и обнаружил, что многие люди предлагают использовать собственный заголовок HTTP ProjectName-Api-Key, например, например: ProjectName-Api-Key: abcde но также...

18
Должен ли я хранить свои заявки пользователей в токене JWT?

Я использую токены JWT в заголовках HTTP для аутентификации запросов к серверу ресурсов. Сервер ресурсов и сервер аутентификации - это две отдельные рабочие роли в Azure. Я не могу определиться, стоит ли мне сохранять заявки в токене или прикреплять их к запросу / ответу каким-либо другим способом....

18
Поделитесь закрытыми ключами SSH с Bash на Windows

У меня Windows 10 с установленным Git. Этот Git использует мой C:/Users/MyNameкаталог в качестве каталога HOME и каталог /.ssh/внутри, соответственно, для получения моих личных ключей SSH. Я только что включил и настроил «Bash на Ubuntu на Windows» (что за глоток!) И установил там Git. Я хотел бы,...

17
Обработка обновления токена / истечения сеанса в RESTful API

Я создаю RESTful API, который использует токены JWT для аутентификации пользователя (выпущенные loginконечной точкой и отправленные во всех заголовках впоследствии), и токены необходимо обновить через фиксированное время (вызывая renewконечную точку, которая возвращает обновленный токен )....

17
Как API должен использовать базовую аутентификацию http

Когда API требует, чтобы клиент проходил аутентификацию, я видел два разных сценария, и мне интересно, какой случай я должен использовать в своей ситуации. Пример 1. Компания предлагает API, чтобы позволить третьим лицам проходить аутентификацию с помощью токена и секрета с использованием HTTP...

16
Аутентификация собственного мобильного приложения с использованием REST API

Вскоре я начинаю новый проект, ориентированный на мобильные приложения для всех основных мобильных платформ (iOS, Android, Windows). Это будет архитектура клиент-сервер. Приложение является информационным и транзакционным. Для транзакционной части они должны иметь учетную запись и войти в систему,...

16
Безопасность REST API: HMAC / хеширование ключей против JWT

Я только что прочитал эту статью , которой несколько лет, но в которой описан умный способ защиты ваших REST API. По существу: Каждый клиент имеет уникальную пару открытый / закрытый ключ Только клиент и сервер знают закрытый ключ; оно никогда не отправляется по проводам При каждом запросе клиент...

15
Система авторизации и аутентификации для микросервисов и потребителей

Мы планируем преобразовать систему нашей компании в систему на основе микросервисов. Эти микро-сервисы будут использоваться нашими внутренними приложениями компании и сторонними партнерами, если это необходимо. Один для бронирования, один для продуктов и т. Д. Мы не уверены, как справляться с...

14
Веб-аутентификация с использованием PKI-сертификатов

Я достаточно хорошо понимаю PKI с концептуальной точки зрения - т.е. частные ключи / открытые ключи - математика, стоящая за ними, использование хэша и шифрования для подписи сертификата, цифровая подпись транзакций или документов и т. Д. Я также работал над проектами, в которых openssl Библиотеки...

14
Как создать аутентификацию пользователя из клиентских приложений?

Я разрабатывал приложение, которое будет поддерживать многих пользователей. Дело в том, что я не могу понять, как аутентифицировать клиента / пользователя. Я создаю приложение, такое как http://quickblox.com/, где я предоставляю учетные данные своим пользователям, и они будут использовать их для...

13
Разница между «aud» и «iss» в jwt

Я хочу реализовать более надежную службу аутентификации, и jwtэто большая часть того, что я хочу сделать, и я понимаю, как писать код, но у меня возникли небольшие проблемы с пониманием различий между зарезервированными issи audутверждениями. Я понимаю, что один определяет сервер, который выдает...

12
Лучший способ скрыть ключ API в исходном коде

Мне нужны некоторые идеи о том, как защитить частный ключ API в приложении, особенно в приложении ac # .NET. Во-первых, я понимаю, что теоретически невозможно что-то скрыть в исходном коде, поэтому я пришел к другой идее, но я не уверен, насколько это правдоподобно. В любом случае, возможно ли...

12
Лучшие практики для аутентификации / безопасности веб-приложений (любая платформа)

Я получил сегодня вопрос от моего менеджера, спрашивающего меня о том, что считается приемлемым дизайном для аутентификации приложения веб-формы, особенно в связи с тем, что многие популярные браузеры используют «Запомнить пароль» для ваших типичных полей имени пользователя и пароля для входа в...

12
печенье против сессии против JWT

Я читаю на аутентификацию / авторизацию в веб-приложениях. Кто-нибудь может подтвердить / исправить мои нынешние знания? Cookie-файлы: в ранней версии текстовый файл с уникальным клиентом идентифицировал всю остальную информацию, необходимую для клиента (например, роли) Сессия: в файл отправляется...

12
Я чрезмерный инженер, если я рассматриваю преднамеренное неправильное поведение пользователя?

Не слишком ли это сложно, если я добавлю защиту от преднамеренных правонарушений пользователя (мягко говоря), если вред, который может принести пользователь, не связан с моим кодом? Для пояснения я представляю простой сервис JSON RESTful, например: GET /items - to retrieve list of user's items PUT...