タグ付けされた質問 「token」

トークンベースの認証の意味を知りたい。インターネットを検索しましたが、理解できるものが見つかりませんでした。

515 security  authentication  token  http-token-authentication 

以下を使用してC ++で文字列を解析しています。 using namespace std; string parsed,input="text to be parsed"; stringstream input_stringstream(input); if (getline(input_stringstream,parsed,' ')) { // do some processing. } 単一の文字区切り文字を使用した解析は問題ありません。しかし、区切り文字として文字列を使用したい場合はどうでしょうか。 例：分割したい： scott>=tiger >=区切り文字として、私はスコットと虎を得ることができるように。

362 c++  parsing  split  token  tokenize 

これまでに学んだことから、トークンの目的は、攻撃者がフォームの送信を偽造するのを防ぐことです。 たとえば、Webサイトに追加アイテムをショッピングカートに入力するフォームがあり、攻撃者が不要なアイテムでショッピングカートをスパムする可能性があります。 ショッピングカートフォームには複数の有効な入力がある可能性があるため、これは理にかなっています。攻撃者が行う必要があるのは、Webサイトが販売しているアイテムを知っていることだけです。 この場合、トークンがどのように機能し、セキュリティが追加されるかを理解しています。これは、カートに追加された各アイテムのフォームの「送信」ボタンをユーザーが実際に入力して押したためです。 ただし、トークンはユーザーのログインフォームにセキュリティを追加しますか？これにはユーザー名とパスワードが必要ですか？ ユーザー名とパスワードは非常に一意であるため、攻撃者はログインフォージェリが機能するために（トークンが設定されていなくても）両方を知っている必要があり、攻撃者がすでにそれを知っている場合は、Webサイトにサインオンするだけです彼自身。言うまでもなく、ユーザーを自分でログインさせるCSRF攻撃は、いずれにしても実用的な目的はありません。 CSRF攻撃とトークンに対する私の理解は正しいですか？そして、私が疑っているように、それらはユーザーログインフォームには役に立たないのですか？

161 php  token  csrf 

一部の関数の名前が特定のマクロ変数の値に依存しているプログラムを、次のようなマクロで記述しようとしています。 #define VARIABLE 3 #define NAME(fun) fun ## _ ## VARIABLE int NAME(some_function)(int a); 残念ながら、マクロNAME()はそれを int some_function_VARIABLE(int a); のではなく int some_function_3(int a); ですから、これは明らかに間違った方法です。幸い、VARIABLEの可能な値の数は少ないので、単純にを実行し#if VARIABLE == nてすべてのケースを個別にリストできますが、それを行うための巧妙な方法があるかどうか疑問に思いました。

152 c  concatenation  token  c-preprocessor 

Googleからメールと連絡先を取得するためにoAuthを使用します。ユーザーに毎回ログインしてアクセストークンとシークレットを取得するように要求したくありません。私が理解したことから、私はそれらを私のアプリケーションと一緒にデータベースまたはに保存する必要がありますSharedPreferences。しかし、私はそれでセキュリティ面について少し心配しています。トークンの暗号化と復号化は可能ですが、攻撃者がAPKとクラスを逆コンパイルして暗号化キーを取得するのは簡単です。 これらのトークンをAndroidに安全に保存するための最良の方法は何ですか？

123 android  security  oauth  preferences  token 

私の反応アプリでは、axiosを使用してREST apiリクエストを実行しています。 ただし、リクエストとともにAuthorizationヘッダーを送信することはできません。 これが私のコードです： tokenPayload() { let config = { headers: { 'Authorization': 'Bearer ' + validToken() } } Axios.post( 'http://localhost:8000/api/v1/get_token_payloads', config ) .then( ( response ) => { console.log( response ) } ) .catch() } ここでは、validToken()メソッドは単純にブラウザストレージからトークンを返します。 すべてのリクエストには、500エラー応答があり、 リクエストからトークンを解析できませんでした バックエンドから。 各リクエストで認証ヘッダーを送信する方法は？反応する他のモジュールをお勧めしますか？

116 reactjs  rest  token  axios  access-token 

strtok()機能の働きを説明してください。マニュアルには、文字列をトークンに分解すると書かれています。マニュアルでは実際に何が行われているのか理解できません。 私は上の時計を追加strし、*pch最初のwhileループが発生したとき、内容はその作業をチェックするstrだけで「これ」でした。以下に示す出力はどのように画面に印刷されましたか？ /* strtok example */ #include <stdio.h> #include <string.h> int main () { char str[] ="- This, a sample string."; char * pch; printf ("Splitting string \"%s\" into tokens:\n",str); pch = strtok (str," ,.-"); while (pch != NULL) { printf ("%s\n",pch); pch = strtok (NULL, " ,.-"); } return …

114 c  string  split  token  strtok 

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 昨年休業。 この質問を改善する （これは実際には独自の問題であり、NodeJSなどに固有ではないため、このスレッドから生成されます） 私は認証付きのREST APIサーバーを実装しています。ユーザーが/ loginエンドポイントを介してユーザー名/パスワードでログインできるように、JWTトークンの処理を正常に実装しました。このとき、サーバーシークレットからJWTトークンが生成され、クライアント。次に、トークンは、認証された各APIリクエストでクライアントからサーバーに渡され、サーバーシークレットを使用してトークンが検証されます。 ただし、本当に安全なシステムを作成するために、トークンを検証する方法と範囲を正確に確認するためのベストプラクティスを理解しようとしています。トークンの「検証」には、正確には何が必要ですか？サーバーシークレットを使用して署名を検証できれば十分ですか、それともサーバーに保存されている一部のデータに対してトークンやトークンペイロードをクロスチェックする必要がありますか？ トークンベースの認証システムは、ユーザーのパスワードを取得するよりもトークンを取得するのが同等または難しい場合に限り、各リクエストでユーザー名/パスワードを渡すのと同じくらい安全です。ただし、私が見た例では、トークンを生成するために必要な唯一の情報は、ユーザー名とサーバー側の秘密です。これは、悪意のあるユーザーが1分間サーバーシークレットの知識を得たと仮定すると、任意のユーザーに代わってトークンを生成できるため、パスワードがあった場合と同じように、特定のユーザーだけにアクセスできないことを意味します。取得しましたが、実際にはすべてのユーザーアカウントに対してですか。 これは私に質問をもたらします： 1）JWTトークンの検証は、トークン自体の署名の検証、サーバーシークレットの整合性のみに依存する、または個別の検証メカニズムを伴うものに限定する必要がありますか？ 場合によっては、/ loginエンドポイントを介したログインが成功するとセッションが確立されるトークンとサーバーセッションの組み合わせの使用を見てきました。APIリクエストはトークンを検証し、トークンにあるデコードされたデータをセッションに保存されている一部のデータと比較します。ただし、セッションを使用することはCookieを使用することを意味し、ある意味でトークンベースのアプローチを使用する目的に反します。また、特定のクライアントに問題を引き起こす可能性があります。 サーバーがmemcacheなどで現在使用中のすべてのトークンを保持していると想像できます。これにより、サーバーのシークレットが侵害され、攻撃者が「有効な」トークンを生成した場合でも、/ loginエンドポイントを介して生成された正確なトークンのみが生成されます。受け入れられます。これは合理的ですか、それとも冗長/過剰なものですか？ 2）JWT署名検証がトークンを検証する唯一の手段である場合、つまりサーバーシークレットの整合性がブレークポイントである場合、サーバーシークレットをどのように管理する必要がありますか？環境変数から読み取り、デプロイされたスタックごとに1回作成（ランダム化？）しますか？定期的に更新またはローテーションされます（その場合、ローテーション前に作成されたがローテーション後に検証する必要がある既存の有効なトークンを処理する方法。おそらく、サーバーが現在のシークレットと以前のシークレットを常に保持していれば十分です） ？他に何か？ サーバーシークレットが危険にさらされるリスクに関しては、私は単に過度に偏執的であるかもしれません。もちろん、これは、すべての暗号化の状況で対処する必要があるより一般的な問題です...

111 security  authentication  token  jwt  secret-key 

テストの目的で更新トークンを短期間に数回使用しましたが、Google更新トークンが期限切れになるかどうか疑問に思いますか？同じ更新トークンを使用して、別のアクセストークンを長期間（1週間または数か月）何度も取得できますか？

108 api  google-api  token  access-token 

行番号に基づいて名前を持つ関数を作成するCマクロを作成したいと思います。私は次のようなことができると思いました（実際の関数は中括弧内にステートメントがあります）： #define UNIQUE static void Unique_##__LINE__(void) {} 私は次のようなものに拡大することを望みました： static void Unique_23(void) {} それはうまくいきません。トークン連結では、位置決めマクロは文字通り処理され、最終的に次のように展開されます。 static void Unique___LINE__(void) {} これは可能ですか？ （はい、これがどれほど役に立たないように見えても、私がこれを実行したい本当の理由があります）。

107 c  macros  concatenation  token 

socket.io接続を認証するにはどうすればよいですか？私のアプリケーションは別のサーバー（Python）からのログインエンドポイントを使用してトークンを取得しますが、ユーザーがノード側でソケット接続を開くたびにそのトークンを使用するにはどうすればよいですか？ io.on('connection', function(socket) { socket.on('message', function(message) { io.emit('message', message); }); }); そしてクライアント側： var token = sessionStorage.token; var socket = io.connect('http://localhost:3000', { query: 'token=' + token }); トークンがPythonで作成されている場合： token = jwt.encode(payload, SECRET_KEY, algorithm='HS256') このトークンを使用してノードのソケット接続を認証するにはどうすればよいですか？

106 node.js  socket.io  jwt  token 

Basic、Digest、OAuth2.0、JWT、Bearer Tokenのような承認について何かを学んでいます。 今、質問があります。 JWTはOAuth2.0標準でAccess_Tokenとして使用されています。JWTはRFC 7519にあり、Bearer TokenはRFC 6750にあります。 たとえば、ベアラー： Authorization: Bearer <token> AJAXを使用してサーバーにトークンを送信するか、URLのクエリ文字列にトークンを追加していました。リクエストヘッダーに追加することでトークンを送信することもできます。それは、トークンをAuthorization Bearerヘッダーに追加する必要があることを意味しますか？ JWTとBearer Tokenの関係を教えてください。どうもありがとう。

105 oauth  token  jwt 

リクエストURIとトークンがあります。私が使用する場合： curl -s "<MY_URI>" -H "Authorization: TOK:<MY_TOKEN>" など、200を取得し、対応するJSONデータを表示します。そのため、リクエストをインストールしました。このリソースにアクセスしようとすると、おそらくそのトークンを渡すための正しい構文がわからないために403が表示されます。誰かが私がそれを理解するのを手伝ってくれる？これは私が持っているものです： import sys,socket import requests r = requests.get('<MY_URI>','<MY_TOKEN>') r. status_code 私はすでに試しました： r = requests.get('<MY_URI>',auth=('<MY_TOKEN>')) r = requests.get('<MY_URI>',auth=('TOK','<MY_TOKEN>')) r = requests.get('<MY_URI>',headers=('Authorization: TOK:<MY_TOKEN>')) しかし、これらはどれも機能しません。

95 python  get  authorization  token  python-requests 

パスワードを忘れた場合の識別子を生成したい。私はmt_rand（）でタイムスタンプを使用してそれを行うことができると読みましたが、一部の人々はタイムスタンプが毎回一意ではないかもしれないと言っています。だから私はここで少し混乱しています。これでタイムスタンプを使ってできますか？ 質問 カスタムの長さのランダム/一意のトークンを生成するためのベストプラクティスは何ですか？ この辺りで多くの質問が寄せられることは承知していますが、さまざまな人々のさまざまな意見を読んだ後、さらに混乱します。

94 php  security  random  timestamp  token 

当サイトでは、ユーザーの個人情報（フォームから提供）に基づいたシミュレーションをユーザーに提供しています。ログイン/パスワードアカウントの作成を強制することなく、後でシミュレーション結果に戻ることができるようにしたいと思います。 私たちは、彼らが結果を取り戻すことができるリンクを含む電子メールを彼らに送ることを考えました。ただし、個人データが危険にさらされているため、当然、このURLを保護する必要があります。 そのため、URLでトークン（文字と数字の40文字の組み合わせ、またはMD5ハッシュなど）を渡し、SSLを使用する予定です。 最後に、次のようなメールが届きます。 こんにちは、https：//www.example.com/load_simulation？token = uZVTLBCWcw33RIhvnbxTKxTxM2rKJ7YJrwyUXhXnで 結果を取得して ください あなたはそれについてどう思いますか？それは十分に安全ですか？トークンの生成について何をアドバイスしますか？httpsリクエストでURLパラメータを渡すのはどうですか？

89 security  url  https  token