タグ付けされた質問 「authentication」

JPAにユーザー情報を保持するJSF 2.0（およびコンポーネントが存在する場合）とJava EE 6コアメカニズム（ログイン/権限のチェック/ログアウト）を使用するWebアプリケーションのユーザー認証に関する現在のアプローチは何ですか？エンティティ。Oracle Java EEチュートリアルは、これについては少し疎です（サーブレットのみを処理します）。 これは、Spring-Security（acegi）やSeamのような他のフレームワーク全体を利用せずに、できれば新しいJava EE 6プラットフォーム（webプロファイル）にこだわることを試みます。

156 jsf  jakarta-ee  authentication  jaas  j-security-check 

WebインターフェースではなくRESTful APIを介して、passport.jsを使用して認証（ローカルやFacebookなど）をどのように処理しますか？ 具体的な懸念事項は、コールバックからRESTful応答（JSON）へのデータの受け渡しの処理と、通常のres.send（{data：req.data}）の使用、Facebookにリダイレクトする最初の/ loginエンドポイントの設定（/ loginはJSON応答ではないため、AJAX経由でアクセスされます-これは、コールバックを使用したFacebookへのリダイレクトです）。 https://github.com/halrobertson/test-restify-passport-facebookを見つけましたが、理解できません。 さらに、passport.jsはどのように認証資格情報を保存しますか？サーバー（またはサービスですか？）はMongoDBによってサポートされており、資格情報（ログインとpwのソルトハッシュ）がそこに格納されることを期待しますが、passport.jsにこのタイプの機能があるかどうかはわかりません。

155 node.js  rest  authentication  restify  passport.js 

現在のところ、この質問は、Q＆A形式には適していません。私たちは回答が事実、参考文献、専門知識によってサポートされることを期待しますが、この質問はおそらく議論、議論、投票、または拡張された議論を誘います。この質問が改善され、場合によっては再開できると思われる場合は、ヘルプセンターにアクセスしてください。 7年前休業。 「パスワードを忘れた」機能を実装するための最良の方法を探しています。 私は2つのアイデアを思い付きます： ユーザーがパスワードを忘れたをクリックすると、ユーザーはユーザー名、電子メール、そしておそらく生年月日または姓を入力する必要があります。その後、一時的なパスワードが記載されたメールがユーザーのメールアカウントに送信されます。ユーザーは一時パスワードを使用してログインし、パスワードをリセットします。 同様ですが、メールにはユーザーがパスワードをリセットできるリンクが含まれます。 または、誰かが私にもっと良い安全な方法を提案できますか？また、一時的なパスワードまたはリンクを送信し、ユーザーに24時間以内にパスワードをリセットするように強制します。そうしないと、一時的なパスワードまたはリンクが使用できなくなります。どうやってするか？

154 security  authentication  passwords  forgot-password 

MySQLサーバーをリモートのUbuntuマシンにインストールしました。rootユーザーは、で定義されているmysql.userテーブルこの方法： mysql> SELECT host, user, password FROM user WHERE user = 'root'; +------------------+------+-------------------------------------------+ | host | user | password | +------------------+------+-------------------------------------------+ | localhost | root | *xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx | | ip-10-48-110-188 | root | *xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx | | 127.0.0.1 | root | *xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx | | ::1 | root | *xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx | +------------------+------+-------------------------------------------+ …

152 mysql  authentication 

HTTP認証保護フォルダーからログアウトする正しい方法は何ですか？ これを実現できる回避策はありますが、バグが発生したり、特定の状況やブラウザで機能しない可能性があるため、潜在的に危険です。それが私が正確でクリーンな解決策を探している理由です。

151 php  authentication  .htaccess  http-headers  password-protection 

最初に、少し背景：CodeIgniterのauth + authシステムを実装していることは秘密ではありません。今のところ（いわば）勝っています。しかし、私はかなり非自明な課題に遭遇しました（ほとんどの認証ライブラリが完全に見逃していることを1が、私はそれを適切に取り扱うことを主張）：でインテリジェントに対処する方法を、可変ユーザ名ブルートフォース攻撃大規模分散します、。 私はいつものトリックをすべて知っています： IP /ホストごとの失敗した試行の数を制限し、攻撃者のアクセスを拒否する（例：Fail2Ban）- ボットネットがよりスマートに成長したため、これは機能しなくなりました 上記と、既知の「悪い」IP /ホスト（例：DenyHosts）のブラックリストを組み合わせる-これは、ボットネットが＃1に落ちることに依存しており、ボットネットはますますそうではありません 従来の認証と組み合わされたIP /ホストホワイトリスト（動的IPユーザーではほとんど役に立たず、ほとんどのWebサイトではチャーンが高くなります） N分/時間内に失敗した試行の数にサイト全体の制限を設定し、その後のすべてのログイン試行を数分/時間の間スロットリング（一時停止）します（DoS攻撃によるボットネットの子の遊びになります）。 ログイン/パスワードオプションなしのすべてのユーザーに対する必須のデジタル署名（公開鍵証明書）またはRSAハードウェアトークン（確かなソリューションですが、閉鎖的で専用のサービスに対してのみ実用的です） 強化された超強力なパスワードスキーム（例：記号を含む25を超える意味のない文字-繰り返しますが、カジュアルなユーザーには非現実的です） そして最後に、CAPTCHA（ほとんどの場合機能する可能性がありますが、ユーザーにとっては迷惑であり、断固としたリソースのある攻撃者に対して事実上役に立たない） さて、これらは理論的に実行可能なアイデアにすぎません。サイトを広く開放するようなごみのアイデアはたくさんあります（たとえば、些細なDoS攻撃に）。私が欲しいのはもっと良いものです。そしてもっといいことには、 DoS攻撃やブルートフォース攻撃に対して安全（+）である必要があり、ややこっそりしたボットがレーダーの下で動作し続ける可能性がある新しい脆弱性を導入しない 自動化する必要があります。人間のオペレーターが各ログインを確認したり、不審なアクティビティを監視したりする必要がある場合、実際のシナリオでは機能しません 主流のWeb使用（つまり、プログラマー以外のユーザーが実行できる大量のチャーン、大量のオープンな登録）に適している必要があります。 それは、カジュアルなユーザーがイライラしたりイライラしたりする（そして潜在的にサイトを放棄する）までユーザーエクスペリエンスを妨げることはできません。 本当に安全な子猫でなければ、子猫を巻き込むことはできません。 （+）「安全」とは、妄想的なユーザーがパスワードを秘密に保つ能力と同じくらい安全であることを意味します だから-それを聞いてみましょう！どうしますか？私が言及しなかったベストプラクティスを知っていますか（そう言ってください）。私は自分のアイデアを持っていることを認めます（3と4のアイデアを組み合わせたものです）が、私は本当の専門家に自分を困らせる前に話させます;-)

151 security  authentication  brute-force 

Pythonを使用してWebページをダウンロードして解析したいのですが、アクセスするには、いくつかのCookieを設定する必要があります。したがって、最初にhttps経由でWebページにログインする必要があります。ログイン時には、2つのPOSTパラメータ（ユーザー名、パスワード）を/login.phpに送信します。ログインリクエスト中に、レスポンスヘッダーからCookieを取得して保存したいので、リクエストでそれらを使用して、ウェブページ/data.phpをダウンロードします。 Python（できれば2.6）でこれを行うにはどうすればよいですか？可能であれば、組み込みモジュールのみを使用します。

146 python  http  authentication  cookies 

自己実行型（LAMPスタックなど）のWebアプリでGoogle認証システム（2要素認証）を使用するためのパブリックAPIはありますか？

146 security  authentication  google-oauth 

トークン認証とCookieを使用した認証の違いは何ですか？ Ember Auth Railsデモを実装しようとしていますが、「なぜトークン認証なのか」という質問のEmber Auth FAQに記載されているように、トークン認証を使用する背後にある理由がわかりません。

141 authentication  cookies  ember.js 

マイクロサービスアーキテクチャにまともな/安全な認証戦略を選択するのに苦労しています。このトピックで私が見つけた唯一のSO投稿はこれです：マイクロサービスアーキテクチャでのシングルサインオン ここでの私の考えは、各サービス（たとえば、認証、メッセージング、通知、プロファイルなど）で各ユーザーへの一意の参照（論理的には彼のuser_id）と、idログインした場合に現在のユーザーの固有の参照を取得することです。 私の研究から、2つの可能な戦略があることがわかります。 1.共有アーキテクチャ この戦略では、認証アプリは他のサービスの1つです。しかし、各サービスは変換を行うことができる必要がありますsession_id=> user_idしたがって、非常にシンプルでなければなりません。それが私がRedisを考えた理由です、それがkey：valueを保存するでしょうsession_id:user_id。 2.ファイアウォールアーキテクチャ この戦略では、認証アプリによってのみ処理されるため、セッションストレージはそれほど重要ではありません。その後、user_id他のサービスに転送できます。Rails + Devise（+ Redisまたはmem-cached、またはcookieストレージなど）について考えましたが、可能性はたくさんあります。重要なのは、Service Xがユーザーを認証する必要がないことです。 これらの2つのソリューションは、次の点でどのように比較されますか。 安心 堅牢性 スケーラビリティ 使いやすさ それとも、ここで言及していない別の解決策を提案するでしょうか？ 私はソリューション1の方が好きですが、私が正しい方向に進んでいるという事実で私を保護するデフォルトの実装をあまり見つけていません。 私の質問が閉じられないことを願っています。他にどこに質問すればいいのか本当にわからない。 前もって感謝します

138 authentication  architecture  microservices 

この動作用にIISをセットアップするときによく使用される「基本的な認証リクエスト」を模倣した認証リクエストを実行しようとしています。 URLは次のとおり です：https://telematicoprova.agenziadogane.it/TelematicoServiziDiUtilitaWeb/ServiziDiUtilitaAutServlet?UC=22&SC=1&ST =2（警告：https！） このサーバーは、アプリケーションサーバーとしてUNIXおよびJavaの下で実行されています。 これは、このサーバーに接続するために使用するコードです。 CookieContainer myContainer = new CookieContainer(); HttpWebRequest request = (HttpWebRequest)WebRequest.Create("https://telematicoprova.agenziadogane.it/TelematicoServiziDiUtilitaWeb/ServiziDiUtilitaAutServlet?UC=22&SC=1&ST=2"); request.Credentials = new NetworkCredential(xxx,xxx); request.CookieContainer = myContainer; request.PreAuthenticate = true; HttpWebResponse response = (HttpWebResponse)request.GetResponse(); （私はこれをこのサイトの別の投稿からコピーしました）。しかし、私はサーバーからこの回答を受け取ります： 基になる接続が閉じられました：送信で予期しないエラーが発生しました。 私はC＃に関する私の知識が私に提供する必要があるすべての可能なタスクを試したと思いますが、何も...

137 c#  authentication  credentials  webrequest 

Springのセキュリティはフィルターのチェーン上に構築されていることを理解しています。これは、リクエストを傍受し、認証を検出（存在しない）し、認証エントリポイントにリダイレクトするか、リクエストを承認サービスに渡し、最終的にリクエストをサーブレットにヒットするか、セキュリティ例外をスローします。 （未認証または無許可）。DelegatingFitlerProxyはこれらのフィルターを接着します。これらのタスクを実行するために、これらはUserDetailsS​​erviceやAuthenticationManagerなどのアクセスサービスにフィルターをかけます。 チェーン内の主要なフィルターは（順序で） SecurityContextPersistenceFilter（JSESSIONIDから認証を復元します） UsernamePasswordAuthenticationFilter（認証を実行） ExceptionTranslationFilter（FilterSecurityInterceptorからのセキュリティ例外をキャッチ） FilterSecurityInterceptor（認証と承認の例外をスローする場合があります） これらのフィルターの使用方法がわかりません。春に提供されるフォームログインの場合、UsernamePasswordAuthenticationFilterは/ loginにのみ使用され、後者のフィルターは使用されないのですか？フォーム・ログイン名前空間の要素は、これらのフィルタを自動設定しますか？すべてのリクエスト（認証済みかどうかにかかわらず）は、非ログインURLのFilterSecurityInterceptorに到達しますか？ ログインから取得したJWT-tokenでREST APIを保護したい場合はどうなりますか？2つの名前空間構成httpタグ、権利を構成する必要がありますか？1つは/ loginでUsernamePasswordAuthenticationFilter、もう1つはREST URLで、customを使用しJwtAuthenticationFilterます。 2つのhttp要素を構成すると2つ作成されますspringSecurityFitlerChainsか？されてUsernamePasswordAuthenticationFilter、私は宣言するまで、デフォルトではオフになってform-login？どのように既存のものからSecurityContextPersistenceFilter取得するフィルターに置き換えるのですか？AuthenticationJWT-tokenJSESSIONID

135 spring  authentication  spring-security  filter  jwt 

最近、GitHubで2要素認証の使用を開始しましたが、プライベートリポジトリで通常の方法でhttps経由でgitを使用できなくなりました。 peter@computer:~$ git clone https://github.com/[...]/MyPrivateRepo Cloning into 'MyPrivateRepo'... Username for 'https://github.com': [...] Password for 'https://[...]@github.com': remote: Invalid username or password. fatal: Authentication failed for 'https://github.com/[...]/MyPrivateRepo/' 2要素認証を無効にすると、以前と同様に使用できます。 peter@computer:~$ git clone https://github.com/[...]/MyPrivateRepo Cloning into 'MyPrivateRepo'... Username for 'https://github.com': [...] Password for 'https://[...]@github.com': remote: Counting objects: 147, done. remote: Total 147 (delta 0), …

129 git  authentication  github 

私はモバイルアプリを作成していて、認証にJWTを使用しています。 これを行う最善の方法は、JWTアクセストークンと更新トークンをペアにして、アクセストークンを必要なだけ頻繁に期限切れにできるようにすることです。 更新トークンはどのようなものですか？ランダムな文字列ですか？その文字列は暗号化されていますか？別のJWTですか？ 更新トークンは、アクセスのためにユーザーモデルのデータベースに格納されますよね？この場合は暗号化する必要があるようです ユーザーのログイン後に更新トークンを送り返し、クライアントに別のルートにアクセスさせてアクセストークンを取得させますか？

129 security  authentication  oauth-2.0  jwt 

アプリケーションがステートレス認証（HMACなどを使用）に依存している場合、CSRF保護を使用する必要がありますか？ 例： シングルページアプリがあります（そうでない場合、各リンクにトークンを追加する必要があります：）<a href="...?token=xyz">...</a>。 ユーザーはを使用して自分自身を認証しPOST /authます。認証が成功すると、サーバーはトークンを返します。 トークンは、JavaScriptを介して、単一ページアプリ内の変数に格納されます。 このトークンは、などの制限されたURLへのアクセスに使用されます/admin。 トークンは常にHTTPヘッダー内で送信されます。 HttpセッションもCookieもありません。 私が理解している限り、ブラウザはトークンを保存しないため、クロスサイト攻撃を使用する可能性はありません（？！）。したがって、サーバーにトークンを自動的に送信することはできません（Cookies /セッション）。 何か不足していますか？

125 authentication  csrf  single-page-application  stateless  csrf-protection