Мы пытаемся определить лучший способ авторизации пользователей в микросервисной архитектуре, в то же время гарантируя, что у микросервисов ограниченные разрешения. Наша архитектура использует центральную службу авторизации для обработки выдачи токенов JWT. У нас есть следующие требования:...
Я обнаружил серьезную дыру в безопасности на одном из публичных сайтов моей компании. Это наш первый общедоступный сайт, который был преобразован из интрасети. Я довел эту проблему до своего босса, и они, по сути, отмахнулись от него, сказав, что потребуется много усилий, чтобы изменить архитектуру...
Большинство угроз безопасности, о которых я слышал, возникли из-за ошибки в программном обеспечении (например, все входные данные не проверены должным образом, переполнения стека и т. Д.). Итак, если мы исключим все социальные взломы, все ли угрозы безопасности связаны с ошибками? Другими словами,...
Мы работаем над новым проектом, мы являемся двумя ведущими разработчиками и попали на перекресток о том, как использовать токен для защиты связи между сервером и клиентом. Первое предложение: (Одноразовый токен AKA Static Token) клиент запрашивает первичный токен, отправляя имя пользователя и...
Фон Я был заключен контракт, чтобы помочь компании поддерживать свой сервер. Я работаю над небольшими PHP-проектами, но также смотрю на проблемы с производительностью и в последнее время сканирую логи на хакеров. Эти ребята уже некоторое время работают на своем сервере, и у меня на последних ногах...
Закрыто. Этот вопрос не по теме . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме разработки программного обеспечения стека Exchange. Закрыто 6 лет назад . В настоящее время большинство популярных приложений требуют активации...
Является ли регистрация входа по электронной почте лучше, чем имя пользователя, чтобы идентифицировать
При добавлении солт-значений к хеш-значению для чего-то вроде пароля, который не может быть сохранен в виде простого текста, из чего лучше всего получать солт-значения? Для контекста, давайте предположим, что это для паролей на странице входа в...
Я настраиваю новый веб-сервис RESTful и мне нужно предоставить модель управления доступом на основе ролей . Мне нужно создать архитектуру, которая позволит пользователям предоставлять свое имя пользователя и пароль для получения доступа к сервисам, а затем ограничивать использование ими сервисов...
Я получил сегодня вопрос от моего менеджера, спрашивающего меня о том, что считается приемлемым дизайном для аутентификации приложения веб-формы, особенно в связи с тем, что многие популярные браузеры используют «Запомнить пароль» для ваших типичных полей имени пользователя и пароля для входа в...
Будучи создателем программы, вы, вероятно, в лучшем положении, чем кто-либо, знаете об уязвимостях безопасности и потенциальных взломах. Если вы знаете об уязвимости в написанной вами системе, это ДОЛЖЕН быть добавлен признак того, что повышенная безопасность должна быть выпущена до выпуска, или...
Около 10 лет я работал над различными внутренними клиентскими приложениями для настольных компьютеров с хранилищами данных SQL Server. Редко я начинал эти проекты - большинство из них занимаются поглощением. Одна вещь, которая везде казалась постоянной, заключалась в том, что существовала...
Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 4 года назад . Я собираюсь написать руководство компании о том,...
Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль? Разве два пароля не будут совершенно разными, поскольку один хешируется и не может быть...
Считаете ли вы хорошей практикой реализовать возможность разрешить пользователю с правами администратора входить в систему как другой пользователь, минуя пароль? Это может быть реализовано с помощью мастер-пароля или функции внутри администрации пользователя «Войти как этот пользователь»....
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 4 года назад . Я немного не согласен с более опытным разработчиком по этому вопросу, и мне...
Этот вопрос возник сегодня, когда мы обсуждали с коллегой страницу «Создать учетную запись» для веб-сайта, над которым мы работаем. Мое коллега считает, что мы должны сделать регистрацию максимально быстрой и беспроблемной, поэтому мы должны просто попросить пользователя отправить его электронное...
У меня есть это веб-приложение, которое будет полностью на стороне клиента (HTML, CSS, JavaScript / AngularJS и т. Д.). Это веб-приложение будет взаимодействовать с REST API для доступа и изменения данных. В настоящее время неясно, какой тип системы аутентификации будет использовать REST API....
У меня нет большого опыта работы с настольными приложениями, но если бы мне пришлось создавать настольное приложение клиент-сервер, доступ к данным осуществлялся бы через веб-сервис. Я считаю, что доступ к данным через веб-сервис обеспечивает безопасность - мне не нужно передавать имя пользователя...
Я много читал об OAuth2, пытаясь разобраться в этом, но я все еще что-то путаю. Я понимаю, что клиент авторизуется у поставщика OAuth (например, Google) и позволяет серверу ресурсов иметь доступ к данным профиля пользователя. Затем клиент может отправить токен доступа на сервер ресурсов и получить...