タグ付けされた質問 「login」

モバイル向けのソーシャルベースのアプリケーションを開発しています。すべてのアプリケーションはRESTful API Webサービスを使用します。ログインを実装するとき、通常はユーザー名とパスワードをデバイスのどこかに保存します。次に、それらを送信し、応答として自分のプロファイルにアクセスします。しかし、これを行う別の方法があることも知っています。 何らかの方法で特定のアルゴリズムでトークンを生成し、ユーザー名とパスワードの代わりにトークンを送信してアクセスを取得します。 どうすれば実装できますか？このトークンをログイン以外のすべてのリクエストとともに送信する必要がありますか？

21 mobile  rest  login 

新しいWebサイトではあまり一般的ではないようですが、アカウントを必要とする多くのWebサイト（請求書の支払いなど）で、スペースを含むパスワードを作成できません。これは物事を覚えるのをより難しくするだけであり、パスワードのスペース、暗号化された、または（天国では禁止されている）データベースまたはプログラミングの制限がないことを認識しています。では、なぜ、サイトへのサインアップに関して、スペースバーはそれほど一般的に差別されているのですか？

16 security  login  privacy 

私は多くの、多くの、読んだ多くの「あなたはおそらく間違ったパスワードを保存している」方法についての記事を。これらは常に、ユーザーがログインしているサーバーにパスワードを保存することを指します。基本的に、パスワードなどを確実にソルトするなど、ユビキタスなアドバイスを再ハッシュします（ただし、クライアントがログインする必要がないように、パスワードをクライアントに保存するためのベストプラクティスに関する記事を見たことはありません）ログインするたびに手動で。「私を記憶する」機能。 ブラウザからDropboxなどのプログラムまで、多くのソフトウェアにこの機能があります。 最近、DropboxがコンピューターにIDを保存する方法に関する古い記事を読みました。別のコンピューターにコピーして貼り付けてDropboxを起動し、IDを取得したデバイスとしてログインできます。ログインもなし、Dropboxアカウントへのフルアクセスもありません。これは本当にばかげたデザインのように思えますが、それを行うより良い方法は考えられません。 クッキーのようなものをプレーンテキストで保存しないようにする方法すらわからない。暗号化する場合、暗号化を解除するためのキーはどこに保存しますか？ セキュリティの脆弱性を導入しない唯一の方法は、自動ログイン機能を削除し、ユーザーがサービスを使用するたびにパスワードを入力するようにすることですが、それは使い勝手が悪く、ユーザーはそうする必要がないことを期待して甘やかされています。 自動ログイン機能を実装するために、資格情報を安全にローカルに保存することについて何を読むことができますか？原則が記事全体に対して単純すぎる場合、それらは何ですか？問題のソフトウェアは、すべてのプラットフォームに存在しない機能（一部のLinuxディストリビューションにある「キーチェーン」など）に依存すべきではありません。

15 security  login 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ 質問を更新して、ソフトウェアエンジニアリングスタック交換のトピックになるようにします。 8年前に閉鎖。 例えば： 2つのドメインで2つのコミュニティサイトを実行しています（それらをexample.comおよびと呼びますexample.net）。 それを後でより多くのドメインに拡張できるようにしたいと考えています。 複数のタイプのログインを許可したい（OpenID、Facebook、Twitter、標準のユーザー名/パスワード）。 あるサイトにログインしている人が自動的に別のサイトにログインすることを望んでいます。 つまり、StackExchangeネットワークに少し似ています。 この場合、この計画は機能しますか？ OpenID依存パーティとしてexample.com、およびexample.net（およびそれ以降の追加）をセットアップし、OpenIDログインid.example.orgのみを受け入れる。 セットアップexample.comとexample.netあなたがログインしている場合ように、あなたがそれらを訪問し、初めてOpenIDの返信即時要求を行うためにid.example.org、あなたのすぐと自動的にあなたが訪問しているサイトにログインします。ログインしていない場合は、Cookieを設定して、ページリクエストごとに保存する必要があります。 id.example.orgOpenIDプロバイダーおよびコンシューマーとしてセットアップします。また、Facebookやその他のIDプロバイダーを利用し、標準のユーザー名/パスワードアクセスを許可する必要があります。（1つのアカウントに複数のログインメソッドをアタッチできます。） ログアウト時に、データベースの認証トークンを変更するだけです。ユーザーは引き続きCookieを保持しますが、それらは無意味になります。したがって、ユーザーはすべてのサイトから同時にサインアウトできます。1人のユーザーに対して一度に複数の認証トークンを格納できます（サイトごとに異なる必要があります）。そのため、ユーザーは1つのブラウザーでサインアウトしても、別のブラウザーではサインインできます。サインアウトすると、常にすべてのサイトからサインアウトします。 上記で私が見ることができる唯一の問題はこれです： 誰かが訪れるexample.com。「ログインしていない」Cookieが設定されます。 Zieは次に進みますexample.net。同上。 その後、Zieはサインインし、引き続きブラウジングしexample.netます。 Zieは次に戻りexample.com、「ログインしていない」Cookieが原因でチェックid.example.orgされないため、ログインされません。 ただし、zieが「ログイン」ボタンをクリックするとすぐに、zieはログインします。 これは大きな問題ではないと思います。 全体として、かなり良いシステムだと思います。審査をお願いします。予想していなかった問題はありますか？バギーなのか遅いのか？StackExchangeは非常に異なる方法を使用します。私は彼らがそのための正当な理由があると思いますか？

8 openid  login