タグ付けされた質問 「authentication」

ウェブサイトhttps://code.google.com/apis/consoleでアプリケーションを登録し、生成されたクライアントID：とクライアントシークレットをアプリに設定して、Googleでログインしようとしました。残念ながら、私はエラーメッセージを受け取りました： Error: redirect_uri_mismatch The redirect URI in the request: http://127.0.0.1:3000/auth/google_oauth2/callback did not match a registered redirect URI scope=https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email response_type=code redirect_uri=http://127.0.0.1:3000/auth/google_oauth2/callback access_type=offline approval_prompt=force client_id=generated_id このメッセージはどういう意味ですか、どうすれば修正できますか？私はgem omn​​iauth-google-oauth2を使用しています。

386 authentication  oauth-2.0  google-signin 

MongoDBインスタンスにユーザー名とパスワードの認証を設定して、リモートアクセスがユーザー名とパスワードを要求するようにします。MongoDBサイトのチュートリアルを試し、次のことを行いました。 use admin db.addUser('theadmin', '12345'); db.auth('theadmin','12345'); その後、私は退場して再びモンゴを走らせました。それにアクセスするのにパスワードは必要ありません。データベースにリモートで接続しても、ユーザー名とパスワードの入力を求められません。 更新これは私が最終的に使用したソリューションです 1) At the mongo command line, set the administrator: use admin; db.addUser('admin','123456'); 2) Shutdown the server and exit db.shutdownServer(); exit 3) Restart mongod with --auth $ sudo ./mongodb/bin/mongod --auth --dbpath /mnt/db/ 4) Run mongo again in 2 ways: i) run mongo first …

376 authentication  mongodb 

JWTを使用したステートレス認証モデルを備えた新しいSPAがあります。単純なトークンヘッダーの代わりにすべてのリクエストに対して「ベアラートークン」を送信するように依頼するなど、認証フローについてOAuthを参照するようにしばしば求められますが、OAuthは単純なJWTベースの認証よりもはるかに複雑だと思います。主な違いは何ですか、JWT認証をOAuthのように動作させる必要がありますか？ XSRF-TOKENとしてJWTを使用してXSRFを防止していますが、それらを個別に保持するように求められますか？それらを分離しておくべきですか？ここでの助けは高く評価され、コミュニティのための一連のガイドラインにつながるかもしれません。

356 authentication  oauth  jwt 

Passportのシリアライズおよびデシリアライズメソッドのワークフローを素人にどのように説明しますか。 どこに呼び出されたuser.id後passport.serializeUserですか？ それのpassport.deserializeUser直後に、ワークフローのどこに収まるかを呼び出します。 // used to serialize the user for the session passport.serializeUser(function(user, done) { done(null, user.id); // where is this user.id going? Are we supposed to access this anywhere? }); // used to deserialize the user passport.deserializeUser(function(id, done) { User.findById(id, function(err, user) { done(err, user); }); }); 私はまだ頭を包み込もうとしています。完全に機能するアプリがあり、どのようなエラーも発生していません。 ここで何が起こっているのか正確に理解したかっただけですか？ …

337 node.js  authentication  express  serialization  passport.js 

Angular、Ember、Reactなどのフレームワークを使用してSPAスタイルのアプリケーションを構築する場合、認証とセッション管理のベストプラクティスは何だと思いますか？問題への取り組みを検討する方法はいくつか考えられます。 APIとUIのオリジンドメインが同じであると想定して、通常のWebアプリケーションでの認証と同じように扱います。 これには、セッションCookie、サーバー側セッションストレージ、およびおそらく認証済みWeb UIがヒットして現在のユーザー情報を取得し、パーソナライゼーションやクライアント側の役割/機能の決定に役立つ可能性があるいくつかのセッションAPIエンドポイントが含まれる可能性があります。もちろん、サーバーは引き続きデータへのアクセスを保護するルールを適用し、UIはこの情報を使用してエクスペリエンスをカスタマイズします。 パブリックAPIを使用するサードパーティのクライアントと同様に扱い、OAuthと同様のトークンシステムで認証します。このトークンメカニズムは、サーバーAPIに対して行われたすべてのリクエストを認証するためにクライアントUIによって使用されます。 私はあまり専門家ではありませんが、ほとんどの場合、＃1で完全に十分ですが、経験豊富な意見をいくつか聞きたいです。

308 security  angularjs  authentication  ember.js  single-page-application 

FBFriendModel.find({ id: 333 }, function (err, docs) { docs.remove(); //Remove all the documents that match! }); 上記は動作しないようです。レコードはまだ残っています。 誰かが修正できますか？

291 javascript  node.js  mongodb  express  authentication 

基本認証を使用しているユーザーをWebサイトからログアウトすることはできますか？ ユーザーが認証されると、各リクエストにログイン情報が含まれるため、セッションを終了するだけでは不十分です。ユーザーは、次回同じ認証情報を使用してサイトにアクセスしたときに自動的にログインします。 これまでの唯一の解決策はブラウザを閉じることですが、それはユーザビリティの観点から受け入れられません。

279 http  authentication  basic-authentication 

node.js用の既存のユーザー認証ライブラリはありますか？特に、（カスタムバックエンド認証DBを使用して）ユーザーのパスワード認証を実行し、そのユーザーをセッションに関連付けることができるものを探しています。 認証ライブラリを作成する前に、既存のライブラリを知っているかどうかを確認しました。グーグル検索で明らかなものを見つけることができませんでした。 -シュレヤス

274 authentication  node.js  serverside-javascript 

ASP.NET MVCでは、次のAuthorizeAttributeようにコントローラーメソッドをでマークアップできます。 [Authorize(Roles = "CanDeleteTags")] public void Delete(string tagName) { // ... } つまり、現在ログインしているユーザーが "CanDeleteTags"ロールに属していない場合、コントローラーメソッドは呼び出されません。 残念ながら、失敗した場合AuthorizeAttributeは、HttpUnauthorizedResultを返します。これは常にHTTPステータスコード401を返します。これにより、ログインページへのリダイレクトが発生します。 ユーザーがログインしていない場合、これは完全に理にかなっています。ただし、ユーザーがすでにログインしているが、必要なロールに属していないログインページに戻すのは混乱します。 のようだ AuthorizeAttribute認証と認可統合する。 これはASP.NET MVCの見落としのようですが、何か不足していますか？ DemandRoleAttribute2つを分離するを調理しなければなりませんでした。ユーザーが認証されない場合、HTTP 401が返され、ログインページに送信されます。ユーザーがログインしているが、必要な役割ではない場合は、NotAuthorizedResult代わりにを作成します。現在、これはエラーページにリダイレクトされます。 確かに私はこれをする必要はなかったのですか？

265 asp.net-mvc  authentication  authorization 

「暗黙的」フローでは、リソース所有者（つまり、ユーザー）がアクセス権を付与した後、クライアント（ブラウザーなど）がアクセストークンを取得します。 ただし、「認証コード」フローでは、クライアント（通常はWebサーバー）は、リソース所有者（つまりユーザー）がアクセスを許可した後にのみ認証コードを取得します。次に、その認証コードを使用して、クライアントはAPIをもう一度呼び出し、client_idとclient_secretを認証コードとともに渡して、アクセストークンを取得します。ここですべてがよく説明されています。 両方のフローの結果はまったく同じです。アクセストークンです。ただし、「暗黙的」フローははるかに単純です。 質問：「暗黙的な」フローがうまく機能しているのに、なぜ「認証コード」フローに煩わされるのですか？ウェブサーバーに「暗黙的」も使用しないのはなぜですか？ プロバイダーとクライアントの両方にとってより多くの作業です。

264 authentication  oauth  oauth-2.0 

Subversion変更が表示される名前を変更する方法を教えてください。 使い始めたばかりですSubversion。私は現在、妻の名前で常にログインしているXPラップトップのバージョン管理コードにそれを使用しています。Subversion DBに私の名前で変更を表示してほしい。 後で、DBを複製して、家全体からアクセスできるようにします。妻はいつも私の名前でログインしているオフィスのコンピューターを使用しています。変更されたドキュメントを自動的にチェックインするように、おそらく彼女の名前で設定します。 最終的には、Linuxマシンから別のユーザー名で使用することになるでしょう。 ユーザー環境を変更して、Subversionが呼び出すユーザー名を変更する方法はありますか？私SVN_USERNAME='Mark'はオーバーライドするような設定のようなものを期待しますが、通常は名前を取得します。 更新：--username Michaelが言及したフラグは"svn stat"、ローカルファイル：リポジトリであっても、によって報告される名前を変更するように機能するようです。また、スティッキーなので、次のコマンドで指定する必要はありません。私は再起動さえしました、そしてそれはまだ"--username"私の前回のブートからの値を使いました。

253 svn  authentication  username 

データベースストレージのパスワードをハッシュするときは、常に適切なエントリごとのソルト文字列を使用しました。私のニーズのために、ソルトをハッシュされたパスワードの隣のDBに保存することは常にうまくいきました。 ただし、ソルトをデータベースとは別に保存することを推奨する人もいます。彼らの主張は、データベースが侵害された場合でも、攻撃者は特定のソルト文字列を考慮に入れてレインボーテーブルを作成し、一度に1つのアカウントをクラックすることができるというものです。このアカウントが管理者権限を持っている場合は、他のアカウントをクラックする必要はないかもしれません。 セキュリティの観点から、塩を別の場所に保管することは価値がありますか？サーバーコードとDBが同じマシン上にあるWebアプリケーションについて考えてみます。ソルトがそのマシンのフラットファイルに格納されている場合、データベースが危険にさらされている場合、ソルトファイルも同様に破損する可能性があります。 これに対する推奨される解決策はありますか？

250 security  authentication  hash  cryptography  salt 

私はこのウェブサイトを見ていますが、機能していないため、これを行う方法を理解できないようです。現在のサイトユーザーがログイン（認証）されているかどうかを確認する必要があります。 request.user.is_authenticated ユーザーがログインしていることは確かですが、次のように返されます > （上記のURLの最初のセクションから）次のような他の要求を行うことができます。 request.user.is_active 成功した応答を返します。

250 python  django  authentication 

AWSコンソールに、2つのインスタンスが実行されているアカウントへのアクセス権が与えられましたが、（本番環境では）シャットダウンできません。ただし、これらのインスタンスへのSSHアクセスを取得したいのですが、新しいキーペアを作成してインスタンスに適用し、SSHで接続できますか？現在、インスタンスが作成されたキーペアの既存のPEMファイルを取得することはできません。 これが不可能な場合、インスタンスにアクセスする方法は他にありますか？

239 amazon-web-services  authentication  ssh  amazon-ec2  permissions 

バックグラウンド： REST Webサービスの認証スキームを設計しています。これは「本当に」安全である必要はありません（個人的なプロジェクトに近いものです）が、エクササイズ/学習体験としてできるだけ安全にしたいと考えています。面倒なこと、たいていの場合は設定にかかる費用が不要なので、SSLを使用したくありません。 これらのSOの質問は、私を始めるのに特に役立ちました。 RESTful認証 REST API / Webサービスを保護するためのベストプラクティス 最高のSOAP / REST / RPC Web APIの例は？そして、なぜあなたはそれらが好きですか？そして、それらの何が問題になっていますか？ Amazon S3の認証の簡易バージョンを使用することを考えています（私はOAuthが好きですが、私のニーズには複雑すぎるようです）。リプレイ攻撃を防ぐために、サーバーによってランダムに生成されたnonceをリクエストに追加しています。 質問に行くには： S3とOAuthはどちらも、いくつかの選択されたヘッダーとともにリクエストURLに署名することに依存しています。どちらも POSTまたはPUTリクエストのリクエスト本文に署名しません。これは、URLとヘッダーを保持し、リクエストの本文を攻撃者が必要とするデータに置き換える中間者攻撃に対して脆弱ではありませんか？ 署名される文字列にリクエスト本文のハッシュを含めることで、これを防ぐことができるようです。これは安全ですか？

228 rest  authentication  oauth  amazon-s3  rest-security