-
0 votesanswersviews
WebService非标准授权类型
我有一个服务提供商,他们的Web服务需要非标准的授权类型 . 它们不需要Basic,Digest,NTLM等,而是需要“基本API访问” . 我已经尝试了下面的代码并使用Fiddler来检查Web服务请求 . 似乎没有任何自定义字符串可以使用 Binding avail = new Binding(); avail.Url = "https://amer.webservicesx... -
0 votesanswersviews
401使用EWS的服务帐户未授权错误
我让Exchange Server管理员为我创建了一个可用于EWS API测试的电子邮件帐户(它不是AD帐户) . 我使用EWS api没有问题(使用webCredentials) . 这个使用EWS API的应用程序会使用邮箱中的信息并对其进行处理 . 现在我们创建了一个服务帐户,该帐户将用于运行该应用程序的服务器上的服务 . 如果我使用此服务帐户的凭据(当我通过WebCredentials输入... -
0 votesanswersviews
带有承载令牌的Web API和Mobile API
我们正在使用带有OWIN的Bearer-Token构建Server for Web Api和Mobile Api . 验证的要求在这两者之间是不同的 . 这是Owin配置: public void Configuration(IAppBuilder app) { app.MapSignalR(); ConfigureOAuth(app); } ... -
4 votesanswersviews
如何使用承载令牌身份验证访问报表在不同选项卡中打开的报表服务器?
Problem Statement 我正在开发一个SPA,用户可以在其中查看/查看pdf,text和html等不同的报告 . 因为我们分别使用授权服务器和资源服务器,每个资源服务器必须向授权服务器请求用户身份和然后授权服务器将提供承载令牌来访问资源 . 现在,每个请求必须具有带有承载令牌的授权标头才能访问资源 . 在我的情况下SPA正在打开新选项卡以使用直接URL访问不同类型的报告(这是一项要求)... -
0 votesanswersviews
如何在不访问auth服务器的情况下验证OAuth2访问令牌(JWT)
尝试了解OAuth2中的双方客户端凭据方案 . 有些人声称JWT是Access Token的优秀格式,因为它是自包含的,资源服务器不需要从授权服务器(STS)验证令牌 . 但这是怎么做到的?我看到资源服务器本身验证JWT的唯一方法是在服务器上存储公钥,用于验证签名 . -
1 votesanswersviews
C#OWIN OAuth2服务器:访问令牌始终返回invalid_grant
我在这里 Build 一个OAuth2授权服务器:https://docs.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/owin-oauth-20-authorization-server 我有一个授权码,我试图将其换成访问令牌 . 无论如何,我得到400响应“invalid_grant” . 这是我的相关服务器实现: OA... -
2 votesanswersviews
在邮差中刷新 JWT
我们是令牌授权的新手,在 Postman 中我们能够获得访问令牌,但不确定如何获取刷新令牌,因为我们不知道从哪里获取 clientID,客户端机密等值。我们已经尝试过 Auth0,但我们不希望在我们的应用程序中有任何前端,我们只想通过 rest 客户端测试它。如果有人能给我们任何想法,我们将非常感激,谢谢 -
0 votesanswersviews
IIS7 集成模式在请求之间关闭令牌
我们正在迁移到 IIS7 集成模式,并遇到了一个问题。我们使用 WindowsAuthentication 进行身份验证,然后存储对 WindowsPrincipal 的引用,以便在将来的请求中我们可以根据需要对 AD 进行授权。在 IIS 7 集成模式下,令牌正在关闭(请求之间),因此当我们尝试运行 IsInRole 时,它会生成一个已处置的异常。有没有办法缓存此令牌或更改我们对 Windows... -
0 votesanswersviews
Asp.Net 核心 - 来自其他服务器的自定义授权和身份?
我试图通过 API 访问另一台服务器中的凭据和用户数据,以确定如何 configure/use Asp.Net 核心授权。 例如,在“Auth”服务器中,我们有 Auth 数据库,用于存储用户,角色和声明。一些例子: GET https://auth.myserver.com/v1/users/4/IsInRole/Admin 回应是一个简单的布尔。 要么: GET https://auth.my... -
0 votesanswersviews
如何在本机客户端中获取令牌以访问已为Azure Active Directory注册的Web API?
我有一个本机客户端(控制台应用程序),我试图访问WebAPI . API已使用Azure AAD进行身份验证 . 因此,为了使用 AuthenticationContext.AcquireToken() 方法获取令牌,需要ClientCredentials,而这需要在向Azure AAD注册应用程序时从Azure接收的"client secret" . 有没有其他方法可以检索... -
76 votesanswersviews
自定义Authorization HTTP标头
我需要在向API发送请求时对客户端进行身份验证 . 客户端有一个API令牌,我正在考虑使用标准的 Authorization 标头将令牌发送到服务器 . 通常,此标头用于 Basic 和 Digest 身份验证 . 但我不允许't know if I'm自定义此标头的值并使用自定义身份验证方案,例如: Authorization: Token 1af538baa9045a84c0e889f672b... -
9 votesanswersviews
Jwt令牌授权不起作用
我正在尝试创建Jwt令牌授权 . 为此,我有发布者部分代码,如: public override Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context) { context.OwinContext.Response.Headers.Add("Access-Contr... -
0 votesanswersviews
使用JSON Web Token和Firestore支持Bearer令牌
我希望在使用与Firestore通信的node.js应用程序时在Firestore中拥有身份验证和授权支持 . 用户通过URL(带有嵌入式令牌的http.get)进行交互,并与node.js应用程序进行交互 . 该应用程序接受来自用户的一些输入,然后与firestore对话 . 客户端执行安全活动所需的访问令牌都嵌入在GET URL(id访问令牌)中 . 我在这里有一个流程,并想验证这个流程是否正... -
3 votesanswersviews
HttpContext.Current.Request.LogonUserIdentity.Groups返回不同的结果
我正在尝试使用Windows身份验证在我的MVC Intranet应用程序中的特定控制器上使用MVC Authorize属性 . IIS 7.5设置为仅使用Windows身份验证,并且web.config中的匿名访问已关闭 . 我对域进行了身份验证,但是,当执行控制器上的任何操作时,仍会提示您输入凭据 . 我检查了我的浏览器设置(IE9),并设置为使用我当前的Windows凭据自动登录 . 我试... -
9 votesanswersviews
如何使用Asp.Net Identity 2将用户添加到角色后使.AspNet.ApplicationCookie无效?
我有两个与此相关的问题: 1)我需要使用Asp.Net Identity 2添加/删除一些远程用户到Role后使用无效.AspNet.ApplicationCookie我尝试使用UpdateSecurityStamp,但由于没有更改密码或用户名,因此SecurityStamp保持不变 . 当我使用ApplicationRoleManger时,我可以看到用户角色已更新,但在User.Identit... -
1 votesanswersviews
将基于令牌的身份验证与Windows身份验证相结
我们目前有一个使用Windows身份验证的内部API . 我一直在考虑将此API公之于众,其中一个要求是应该可以在没有域用户的情况下登录 . 域用户仍应该能够登录,并且应该被视为超级管理员(访问所有内容) . 很明显,不久之后,我们将需要角色或基于声明的授权 . 作为原型,我使用ASP.NET Identity实现了一个系统 . 使用JWT令牌和基于声明的授权 . 但是,如何确保使用Windows... -
12 votesanswersviews
如何从ASP.NET Core webapi中删除重定向并返回HTTP 401?
在this question上的答案之后,我在默认情况下为所有内容添加了授权,使用以下代码: public void ConfigureServices(IServiceCollection aServices) { aServices.AddMvc(options => { var lBuilder = new AuthorizationPolicyBuilder().R... -
1 votesanswersviews
在请求标头中反应redux - 401 - 未授权 - 丢失标头
return fetch(`{SERVICE API URL}`, { method: 'GET', headers: { 'userName': "username", 'password': "password", 'content-type': 'application/json' } }) .the... -
0 votesanswersviews
Google上的操作使用非GoogleAssistant集成链接第三方服务帐户
我正在开发智能设备的Google Action,并使用Dialogflow交互模式和Java实现 . 履行应调用第三方API来完成请求 . 出于任务目的,我必须使用自定义OAuth服务器 . 根据文档,我使用授权类型:授权代码在Action Console中填写了Action Account Linking信息 . 对于所有意图,包括欢迎"Sign in required"已设... -
1 votesanswersviews
Kafka ACL 基于客户端证书 DN 或其部分的主题
我正在阅读 Kafka 文档(版本 0.11.0),我希望根据客户端证书对消费者和发布者的主题进行身份验证和授权。 它的工作方式应该是基于 DN 授予授权,或者只是其部分,如 CN,电子邮件或其他内容。 我看到 Kafka 代理可以配置为通过 TLS 使用安全通信,并根据客户端证书验证传入连接。但从我的角度来看,就是这样。这就是 Kafka 经纪人可以用客户证书做的事情。主题的 ACL 应该使用 ... -
1 votesanswersviews
ArrayTypeMismatch Session 中的异常
我有一个用 ASP.NET MVC 编写的网站。有一些自定义授权逻辑,并添加了以下属性。 public sealed class CustomAuthorizeAttribute : AuthorizeAttribute 在 AuthorizeCore 方法的覆盖中,我尝试访问 Session 和: HttpContext.Current.Session!= null HttpConte... -
11 votesanswersviews
HandleUnauthorizedRequest 不会覆盖
在我的 asp.net mvc3 应用程序中,我有一个自定义授权属性,如下所示。 public class CustomAuthorize : AuthorizeAttribute { public IAccountRepository AccountRepository { get; set; } public CustomAuthorize() { t... -
0 votesanswersviews
UnAuthorized 时自定义授权属性重定向
在我的 C#MVC4 应用程序中,我正在执行一些不同的重定向到自定义授权属性内部的操作,具体取决于用户是否已登录,具有某个角色等。 我已将 authorize 属性放在我的某个操作结果之上。如果用户未登录或未经过身份验证或登录但不是我检查过的任何一个组的成员,我希望执行操作结果中的代码。如果用户已登录并且是任一组的成员,我希望重定向到另一个操作(这当前正在工作)。 使用我当前的代码,那些登录并在指... -
0 votesanswersviews
授权属性重新定义不起作用
我已经在授权中干了一段时间,发现了一些帮助我覆盖默认方法的页面。但是,似乎我无法使该属性起作用。我使用 Visual Studio 2013 调试我的项目,但它仍然没有停止在 Authorize 方法被重新划分的断点处。如果在将[1]放在类或甚至单个方法之后 Web 服务工作,这将不会成为问题。我已经尝试了所有它们似乎它返回的一切都是 401 Unauthorized。它甚至都没有进入所需的 We... -
240 votesanswersviews
如何在ASP.NET Core中创建自定义AuthorizeAttribute?
我正在尝试在ASP.NET Core中创建自定义授权属性 . 在以前的版本中,可以覆盖 bool AuthorizeCore(HttpContextBase httpContext) . 但这不再存在于AuthorizeAttribute中 . 制作自定义AuthorizeAttribute的当前方法是什么? 我想要完成的任务:我在Header Authorization中收到一个会话ID . ... -
0 votesanswersviews
如何修改.net核心中从WS-FED收到的访问令牌的声明?
我能够存储用户的访问令牌 . // This works - Will use access token for API calls later. claims = new List<Claim>() { new Claim(Constants.ClaimType.NewAccessToken, accessToken.access_token), ... -
0 votesanswersviews
如何处理用户角色权限的例外?
想象一下一个Web安全系统,它由5个表组成,用于处理Web应用程序的授权部分: 用户 角色 权限 rolePermissions(角色和权限之间的多对多) userRoles(用户和角色之间多对多) 有时需要在短时间内授予用户访问权限规则的权限,然后再次删除,例如当有人离开度假而其他人需要接管其中一项任务时 . 简短的回答是创建一个新角色,将该角色分配给用户,并且当不再需要... -
3 votesanswersviews
如何在.Net Core中要求非匿名用户?
在.Net Core中,控制器属性[AllowAnonymous]允许您设置控制器以允许未登录的用户访问控制器 . 有没有办法做相反的事情,要求用户登录?没有给所有用户一个角色,然后用[Authorize(Roles =“WarmBody”)]检查每个控制器,我看不到如何要求登录? -
1 votesanswersviews
CustomAuthorizeAttribute - HttpActionContext 而不是 AuthorizationContext
我正在尝试在 MVC4/Razor 中创建自定义授权属性,并且遇到在自定义授权属性下运行的“AllowAnnoymous”属性的问题(它似乎忽略它)。这一切都很好,花花公子,因为我通过检查控制器或动作是否包含允许匿名属性然后允许传递(如果是这样)来找到解决方案(见下文)。 但是,我看到当我创建“AuthorizeAttribute”类并尝试实现“OnAuthorization”覆盖时,它将对象处理... -
0 votesanswersviews
无法访问JWT Token .NET Core中的角色
我有一个使用.NET Core API,Keycloak和JWT Token创建的应用程序 . 到目前为止我一直在使用的旧版Keycloak,当它创建JWT令牌时,它在有效载荷上写了角色: { "user_roles": [ "offline_access", "uma_authorization"...