タグ付けされた質問 「authentication」

ボブは何かを達成するためにWebアプリケーションを使用します。そして： 彼のブラウザはダイエット中であるため、クッキーをサポートしていません。 Webアプリケーションは人気があり、特定の瞬間に多くのユーザーに対応します。適切にスケーリングする必要があります。セッションを維持することが同時接続数に制限を課し、そしてもちろん無視できないパフォーマンスのペナルティをもたらす限り、私たちはセッションのないシステムを持ちたいかもしれません:) 重要な注意事項： 我々は持っているトランスポート・セキュリティ（HTTPSとその親友が）。 カーテンの裏側では、Webアプリケーションは現在のユーザーに代わって多くの操作を外部サービスに委任します（これらのシステムはBobをユーザーの1人として認識します）。つまり、Bobの資格情報を転送する必要があります。 では、どのようにしてボブを認証するのですか（すべてのリクエストで）。そのようなことを実装する合理的な方法はどれでしょうか？ HTMLフォームの非表示フィールドを介して資格情報でテニスをする... ボールには資格情報（ユーザー名とパスワード）が含まれ、2つのラケットはそれぞれブラウザーとWebアプリケーションです。つまり、Cookieではなくフォームフィールドを介してデータをやり取りする場合があります。各Web要求で、ブラウザーは資格情報を投稿します。ただし、1ページのアプリケーションの場合、これはテニスではなく、ゴムの壁でスカッシュをするように見えます。これは、資格情報を含むWebフォームがWebページの存続期間全体にわたって維持される可能性があるためです。 （サーバーは、資格情報を返さないように構成されます）。 ユーザー名とパスワードをページのコンテキストに保存する-JavaScript変数など。ここでは単一ページが必要、IMHO。 暗号化トークン-ベースの認証。この場合、ログインアクションにより、暗号化されたセキュリティトークン（ユーザー名+パスワード+その他）が生成されます。このトークンはクライアントに返され、今後のリクエストにはトークンが付随します。これは理にかなっていますか？すでにHTTPSを使用しています... その他... 最後の手段：これを行わないで、資格情報をセッションに保存してください！セッションはいいです。クッキーの有無にかかわらず。 以前に説明されたアイデアのいずれかに関して、Web /セキュリティの懸念が思い浮かびますか？例えば、 タイムアウト - 資格情報とともにタイムスタンプを保持する場合があります（タイムスタンプ=ボブが資格情報を入力した時間）。たとえば、NOW-timestamp> thresholdの場合、リクエストを拒否する可能性があります。 クロスサイトスクリプティング保護-どのような違いもないはずですよね？ これを読んでくれてありがとう:)

107 security  authentication  session-cookies  stateless  cookieless 

新しいユーザーが「新しいアカウント」フォームを送信した後、そのユーザーを手動でログインして、後続のページにログインする必要がないようにしたいと考えています。 春のセキュリティインターセプターを通過する通常のフォームログインページは問題なく機能します。 new-account-formコントローラーで、UsernamePasswordAuthenticationTokenを作成し、それをSecurityContextに手動で設定しています。 SecurityContextHolder.getContext().setAuthentication(authentication); 同じページで、後でユーザーがログインしていることを確認します。 SecurityContextHolder.getContext().getAuthentication().getAuthorities(); これにより、認証で以前に設定した権限が返されます。すべては順調です。 しかし、この同じコードがロードする次のページで呼び出されると、認証トークンはUserAnonymousになります。 前回のリクエストで設定した認証が保持されなかった理由がわかりません。何かご意見は？ セッションIDが正しく設定されていないことが原因である可能性がありますか？ どういうわけか私の認証を上書きしている可能性があるものはありますか？ おそらく、認証を保存するために別の手順が必要なだけですか？ または、どういうわけか単一の要求ではなく、セッション全体で認証を宣言するために必要なことはありますか？ ここで何が起こっているのかを理解するのに役立つかもしれないいくつかの考えを探しています。

107 java  authentication  spring-mvc  spring-security 

YouTube Live StreamingAPIと統合するプログラムがあります。タイマーで実行されるため、更新トークンを使用して50分ごとに新しいアクセストークンをフェッチするようにプログラムするのは比較的簡単でした。私の質問は、なぜですか？ YouTubeで認証すると、更新トークンが提供されました。次に、この更新トークンを使用して、約1時間に1回新しいアクセストークンを取得します。更新トークンを持っている場合、有効期限が切れることはないため、常にこれを使用して新しいアクセストークンを取得できます。したがって、最初からアクセストークンを提供し、リフレッシュトークンシステム全体を気にしないこと以上に、これがどのように安全であるかはわかりません。

107 authentication  oauth  youtube-api  access-token  refresh-token 

PHPでLDAPを介してユーザーを認証する方法を探しています（プロバイダーはActive Directoryです）。理想的には、IIS 7で実行できる必要があります（adLDAPはApacheで実行できます）。誰かが似たようなことをして成功しましたか？ 編集：準備ができているコードを含むライブラリ/クラスを好む...誰かがすでにそうしているときにホイールを発明するのはばかげているでしょう。

104 php  authentication  active-directory  ldap 

Google Authenticatorアプリケーションを使用して生成できるワンタイムパスワードを使用しようとしています。 Google認証システムの機能 基本的に、Google認証システムは2種類のパスワードを実装します。 HOTP -パスワードはに準拠して、各呼び出しで変更されることを意味HMACベースのワンタイムパスワード、RFC4226、および TOTP-時間ベースのワンタイムパスワード。（私の知る限り）30秒ごとに変更されます。 Google Authenticatorはオープンソースとしても利用できます：code.google.com/p/google-authenticator 現在のコード HOTPおよびTOTPパスワードを生成するための既存のソリューションを探していましたが、あまり見つかりませんでした。私が持っているコードは、HOTPの生成を担当する次のスニペットです。 import hmac, base64, struct, hashlib, time def get_token(secret, digest_mode=hashlib.sha1, intervals_no=None): if intervals_no == None: intervals_no = int(time.time()) // 30 key = base64.b32decode(secret) msg = struct.pack(">Q", intervals_no) h = hmac.new(key, msg, digest_mode).digest() o = ord(h[19]) & 15 h = (struct.unpack(">I", …

104 python  security  authentication  one-time-password  google-authenticator 

クッキーをクロスオリジンで共有する方法は？より具体的には、Set-Cookieヘッダーをヘッダーと組み合わせて使用する方法はAccess-Control-Allow-Origin？ これが私の状況の説明です： localhost:4000でホストされているWebアプリで実行されているAPIのCookieを設定しようとしていますlocalhost:3000。 ブラウザで正しい応答ヘッダーを受信して​​いるようですが、残念ながら効果はありません。応答ヘッダーは次のとおりです。 HTTP / 1.1 200 OK Access-Control-Allow-Origin：http：// localhost：3000 変更：Origin、Accept-エンコーディング セットCookie：token = 0d522ba17e130d6d19eb9c25b7ac58387b798639f81ffe75bd449afbc3cc715d6b038e426adeac3316f0511dc7fae3f7; 最大年齢= 86400; ドメイン= localhost：4000; パス= /; Expires = 2017年9月19日火曜日21：11：36GMT; HttpOnly コンテンツタイプ：application / json; charset = utf-8 コンテンツの長さ：180 ETag：W / "b4-VNrmF4xNeHGeLrGehNZTQNwAaUQ" 日付：2017年9月18日月曜日21:11:36 GMT 接続：キープアライブ さらに、Response CookiesChromeの開発者ツールの[ネットワーク]タブを使用してトラフィックを検査すると、下にCookieが表示されます。それでも、の下の[アプリケーション]タブにCookieが設定されているのがわかりませんStorage/Cookies。CORSエラーは表示されないので、他に何かが足りないと思います。 助言がありますか？ 更新I： React-Reduxアプリのリクエストモジュールを使用/signinして、サーバー上のエンドポイントにリクエストを発行しています。サーバーにはエクスプレスを使用しています。 Expressサーバー： res.cookie（ 'token'、 'xxx-xxx-xxx'、{maxAge：86400000、httpOnly：true、domain： 'localhost：3000'}） ブラウザでのリクエスト： request.post（{uri： …

102 authentication  cookies  cors  http-headers  localhost 

Symfony 2テンプレート（Twigを使用）では、ユーザーがログインしていないかどうかを効果的に確認するにはどうすればよいですか？ ROLE小切手を使いたくありません。ユーザーがログインしていないかどうかを確認する簡単な方法が欲しいのですが。 作品との比較は承知してapp.user.usernameおりanonますが、それは私には正しくありません。

101 symfony  authentication  twig  symfony-2.1 

SAMLとOAuthを使用したフェデレーションログインの違いは何ですか？企業がサードパーティのウェブアプリを使用したいが、シングルサインオンと認証機関にもなりたい場合、どちらのソリューションがより意味がありますか？

100 authentication  oauth  saml 

私はAngularJSを初めて使用し、彼らのチュートリアルを経験しました。 各RESTエンドポイントを認証する必要があるプロジェクトのバックエンドの準備ができています。 私は何をしたい 。）私は自分のプロジェクトのための単一のページを持っていると思いますhttp://myproject.com。 b。）ユーザーがブラウザーでURLにアクセスすると、ユーザーがログインしているかどうかに基づいて、同じURLでホームページ/ビューまたはログインページ/ビューが表示されますhttp://myproject.com。 c。）ユーザーがログインしていない場合、フォームに記入し、サーバーUSER_TOKENがセッションを設定するため、エンドポイントへの以降のすべてのリクエストは、USER_TOKEN 私の混乱 a。）AngularJSを使用してクライアント側の認証をどのように処理できますか？私はこことここを見ましたが、それらの使用方法を理解していませんでした 。b。）ユーザーが同じURLでログインしているかどうかに基づいて、ユーザーに異なるビューを表示するにはどうすればよいですか。http://myproject.com 初めてangular.jsを使用していて、開始方法について本当に混乱しています。アドバイスやリソースは大歓迎です。

100 javascript  angularjs  authentication  login 

OpenID認証の仕組みについて少し知りたいです。 OpenID認証とサイトが独自に使用する認証に違いはありますか？

99 authentication  openid 

node.js、express、passport.jsを使用してログインメカニズムを確立しようとしています。ログイン自体は非常にうまく機能し、セッションはredisで適切に保存されますが、認証を求められる前に、ユーザーを元の場所にリダイレクトする際に問題が発生します。 たとえば、ユーザーがリンクをたどるhttp://localhost:3000/hiddenと、リダイレクトされますhttp://localhost:3000/loginが、再びリダイレクトして欲しいですhttp://localhost:3000/hidden。 この目的は、ユーザーが最初にログインする必要があるページにランダムにアクセスする場合、資格情報を提供する/ loginサイトにリダイレクトされ、次に以前にアクセスしようとしたサイトにリダイレクトされることです。 これが私のログイン投稿です app.post('/login', function (req, res, next) { passport.authenticate('local', function (err, user, info) { if (err) { return next(err) } else if (!user) { console.log('message: ' + info.message); return res.redirect('/login') } else { req.logIn(user, function (err) { if (err) { return next(err); } return next(); // <-? …

99 node.js  authentication  redirect  express  passport.js 

私はpassportJSを使用していると私はちょうどより多く供給したいんだreq.body.usernameとreq.body.password、私の認証戦略（パスポートローカル）にします。 私は3つのフォームフィールドを持っています：username、password、＆foo req.body.foo次のようなローカル戦略からアクセスするにはどうすればよいですか。 passport.use(new LocalStrategy( {usernameField: 'email'}, function(email, password, done) { User.findOne({ email: email }, function(err, user) { if (err) { return done(err); } if (!user) { return done(null, false, { message: 'Unknown user' }); } if (password != 1212) { return done(null, false, { message: 'Invalid password' }); } …

98 node.js  authentication  express  callback  passport.js 

このコードは、パスワードをソルトでハッシュすることになっています。ソルトとハッシュ化されたパスワードはデータベースに保存されています。パスワード自体はそうではありません。 操作のデリケートな性質を考慮して、私はすべてがコーシャであることを確認したかった。 import hashlib import base64 import uuid password = 'test_password' salt = base64.urlsafe_b64encode(uuid.uuid4().bytes) t_sha = hashlib.sha512() t_sha.update(password+salt) hashed_password = base64.urlsafe_b64encode(t_sha.digest())

97 python  authentication  hash  passwords  salt 

クライアントのページをホストするマルチテナントWebサイトを作成しています。URLの最初のセグメントは、次のURLルーティングスキーマを使用してGlobal.asaxで定義された、クライアントを識別する文字列になります。 "{client}/{controller}/{action}/{id}" これは、/ foo / Home / IndexなどのURLで正常に機能します。 しかし、[Authorize]属性を使用すると、同じマッピングスキームを使用するログインページにリダイレクトしたいと思います。したがって、クライアントがfooの場合、ログインページは、web.configで定義された固定の/ Account / Loginリダイレクトではなく、/ foo / Account / Loginになります。 MVCはHttpUnauthorizedResultを使用して401無許可ステータスを返します。これにより、ASP.NETがweb.configで定義されたページにリダイレクトされると思います。 では、ASP.NETログインリダイレクトの動作をオーバーライドする方法を知っている人はいますか？または、カスタム認証属性を作成してMVCでリダイレクトする方が良いでしょうか？ 編集-回答： .Netソースを少し調べた後、カスタム認証属性が最良のソリューションであると判断しました。 public class ClientAuthorizeAttribute: AuthorizeAttribute { public override void OnAuthorization( AuthorizationContext filterContext ) { base.OnAuthorization( filterContext ); if (filterContext.Cancel && filterContext.Result is HttpUnauthorizedResult ) { filterContext.Result = new RedirectToRouteResult( new …

96 .net  asp.net-mvc  authentication  forms-authentication  asp.net-routing 

Webサービスで認証を設定する方法に苦労しています。このサービスはASP.NET Core Web APIを使用して構築されています。 すべてのクライアント（WPFアプリケーション）は、同じ資格情報を使用してWebサービス操作を呼び出す必要があります。 いくつかの調査の後、基本認証を思いつきました-HTTPリクエストのヘッダーでユーザー名とパスワードを送信します。しかし、何時間もの調査の結果、基本認証はASP.NET Coreに移行する方法ではないように思えます。 私が見つけたリソースのほとんどは、OAuthまたはその他のミドルウェアを使用した認証の実装です。しかし、私のシナリオでは、ASP.NET CoreのIdentity部分を使用するだけでなく、サイズが大きすぎるようです。 それで、私の目標を達成する正しい方法は何ですか-ASP.NET Core Webサービスでのユーザー名とパスワードによる単純な認証？ 前もって感謝します！

96 c#  asp.net  authentication  asp.net-core