-
0 votesanswersviews
承载(JWT)验证方案的Authentication-Info标头
我在REST API中使用JWT承载认证方案 . 为了在成功验证后将jwt令牌返回给客户端,目前我正在使用https://tools.ietf.org/html/rfc6750#page-10中所述的正文中的访问令牌响应 { "access_token":"mF_9.B5f-4.1JqM", "token_type":&quo... -
107 votesanswersviews
RESTful Web服务 - 如何验证来自其他服务的请求?
我正在设计一个RESTful Web服务,需要用户访问,还需要其他Web服务和应用程序访问 . 所有传入的请求都需要进行身份验证 . 所有通信都通过HTTPS进行 . 用户身份验证将基于身份验证令牌工作,通过将用户名和密码(通过SSL连接)POST到服务提供的/ session资源获取 . 对于Web服务客户端,客户端服务后面有 no end user . 请求由计划的任务,事件或一些其他计算机... -
1 votesanswersviews
使用http auth和第三方OAuth提供程序保护REST API
目前我有一个webapp,提供用户名/密码登录或通过Twitter OAuth登录 . 我想为此应用程序添加REST API . 是否有可能(并且有意义)通过Twitter为REST API用户提供OAuth登录?灵感来自this post我想到了以下身份验证流程 . 用户可以通过HTTP身份验证和/或OAuth登录: 我为此问题创建了一个示例工作流:http://i.stack.imgur.co... -
4 votesanswersviews
Erlang / OTP:RESTful应用程序中的授权/身份验证
我正在设计一个Erlang / OTP应用程序,它将通过RESTful API公开其服务(SOA) . 构成后端的服务将是数据库服务,价格计算服务等 . 客户端可以是多种类型:Web客户端,移动客户端,Asterisk服务器客户端(需要在数据库服务中查找用户记录),甚至是我不打算拥有和不知道的客户端 . 客户端将以不同的方式使用RESTful API:一些将使用所有服务,一些将仅消耗一些服务(SO... -
8 votesanswersviews
Google App Engine:使用ID和密码进行 endpoints 身份验证
我们有一个访问Google Cloud Endpoints后端的HTML5客户端 . 我们希望为用户提供 reasonable range of sign-in methods ,例如: sign-in ,其中包含现有的OpenID,或者 sign-up ,其中包含电子邮件和密码 . 这些似乎是我们的基本要求!如果有更好的选择不会限制我们的受众,那么我们会考虑它 . 我们遇到两个问题:(1)似乎终... -
1990 votesanswersviews
为什么我的JavaScript在Postman没有时会收到“请求的资源上没有'Access-Control-Allow-Origin'标头”错误?
我正在尝试使用JavaScript进行授权,方法是连接到Flask中内置的RESTful API . 但是,当我发出请求时,我收到以下错误: XMLHttpRequest无法加载http:// myApiUrl / login . 请求的资源上不存在“Access-Control-Allow-Origin”标头 . 因此不允许原点'null'访问 . 我知道API或远程资源必须设置 Heade... -
0 votesanswersviews
使用jwt身份验证保护react应用程序
我已经创建了一个带有jwt身份验证的应用程序,流程非常简单,就像我向服务器提供用户ID和密码,如果经过身份验证,那么它为我提供jwt和i存储jwt令牌到会话存储,并允许用户登录,然后每次请求我创建了一个带有axios的拦截器,它从会话存储发送令牌,并且everthing工作正常 . 但我感到困惑的是,当用户登录jwt时,会从sessionstorage中看到,所以它是存储jwt的任何安全方式,无法... -
0 votesanswersviews
JDBC身份验证中的PreparedStatmentCallBack错误
我正在进行JDBC身份验证,当我尝试访问API时,它会在不询问用户名和密码的情况下提供“FORBIDDEN” . 这是我的安全配置 . @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecurity(debug = true) static class SecurityConfiguratio... -
1 votesanswersviews
RESTful API的双重身份验证
我目前正在为我们的Web服务构建一个RESTful API,它将由第三方Web和移动应用程序访问 . 我们希望对API使用者(即那些Web和移动应用程序)具有一定程度的控制权,因此我们可以执行API请求限制和/或阻止某些恶意客户端 . 为此,我们希望每个将访问我们API的开发人员从我们这里获取API密钥并使用它来访问我们的API endpoints . 对于某些未处理特定用户信息的API调用,这... -
0 votesanswersviews
完整性检查Oauth2实现
我为我的网站(称为CLMS)设计了一个RESTful启发式API,我想使用oauth2(而不是oauth1)来保护它 . 经过网络搜索后,我想出了这个......有人可以为我检查一下这个问题,并回答我的问题吗? Context. 我有一个多租户系统(名为CLMS),它既是授权服务器又是资源服务器 . CLMS API将由特定的可信赖合作伙伴使用(让我们称之为示例一个 3PS ) . Flow: ... -
16 votesanswersviews
如何在firebase中验证休息呼叫?
我希望在我的用户的帮助下对某些受某些规则保护的数据进行休息调用,因此我需要将令牌发送给我的请求 . 根据firebase文档的哪个版本,有不同的方式:旧的和不推荐的方式(https://www.firebase.com/docs/rest/api/): 'https://samplechat.firebaseio-demo.com/users/jack/name.json?auth=<TOK... -
1995 votesanswersviews
为什么我的JavaScript在Postman没有时会出现“请求的资源上没有'Access-Control-Allow-Origin'标头”错误?
我正在尝试使用JavaScript进行授权,方法是连接到Flask中内置的RESTful API . 但是,当我发出请求时,我收到以下错误: XMLHttpRequest无法加载http:// myApiUrl / login . 请求的资源上不存在“Access-Control-Allow-Origin”标头 . 因此不允许原点'null'访问 . 我知道API或远程资源必须设置 Heade... -
3 votesanswersviews
如何使用个人访问令牌对Visual Studio Team Services和Team Foundation Server进行身份验证?
从PowerShell,如何使用个人访问令牌(PAT)对我的Visual Studio Team Services(VSTS)帐户或本地Team Foundation Server(TFS)进行身份验证? -
3 votesanswersviews
OAuth2 - 检索TOKEN时OPTIONS请求的状态401
我们的堆栈使用Backbone作为客户端应用程序,Spring Boot作为RESTful API使用 . 我们正在尝试使用OAuth2进行基本身份验证,用户提供用户名和密码 . 我们使用Spring Security进行身份验证,使用jQuery $ .ajax方法进行请求 . 然而,我们得到的响应是在预检OPTIONS请求上的401(未授权)状态,然后我们甚至可以使用我们的秘密来授权POST头... -
2 votesanswersviews
创建自定义OAuth2授权类型
我正在构建一个手机应用程序 . 授权过程需要采用以下方式 . 当用户未登录时,将要求他输入电话号码(如WatsApp,Viber等),并在输入电话号码后,将使用8位确认码向用户发送短信 . 当用户输入代码时,将为他创建OAuth2访问令牌和刷新令牌,并从数据库中删除8位数的确认代码 . 如果用户注销,他需要再次执行相同的过程 . 我想使用密码授权方法,因为我是资源所有者 . 但是,由于我在身份验证... -
0 votesanswersviews
如何使用Facebook令牌和用户名/密码构建PHP API身份验证
我正在使用silex(php微框架)构建一个非常简单的API . 我对如何使用Facebook连接或用户名/密码验证用户有所了解 . 我想构建此API以向我的移动应用提供数据 . 我的API使用HTTPS . 使用Facebook进行身份验证: Facebook Connect发生在移动应用上 移动应用程序正在将用户令牌和facebook_id发送到API API检查用户的Facebo... -
88 votesanswersviews
如何保护RESTful Web服务?
我必须实现安全RESTful web services . 我已经使用谷歌进行了一些研究但是我被卡住了 . 选项: TLS(HTTPS) HTTP Basic(pc1oad1etter) HTTP摘要 two-legged OAuth a Cookie-based approach 客户端证书(Tom Ritter和here) 使用HMAC和a limited lifeti... -
1 votesanswersviews
Django休息框架令牌认证AngularJS
我是Django和Token身份验证以及AngularJS的新手 . 到目前为止,我已经制作了Django后端和AngularJS前端 . 我安装了Django Rest Framework并获得了标准令牌认证工作: $scope.login = function () { $http.post('link to my api', { 'username': $scope.da... -
0 votesanswersviews
WSO2 API Manager中的数据访问配置
使用WSO2 API Manager中的范围功能,我能够限制对我的后端API的访问,例如[http://mydomain/context/students(GET](http://mydomain/context/students(GET) - 所有学生的列表),http://mydomain/context/student/S101(GET - 学生S101的详细信息)或http://myd... -
0 votesanswersviews
LoopBack中的访问控制
我正在基于StrongLoop API平台为我的客户构建一个事件管理Web应用程序,我需要将CRUD访问数据限制为当前登录的用户(客户端) . 我已经按照这些教程https://github.com/strongloop/loopback-faq-user-management,https://github.com/strongloop/loopback-example-access-contro... -
1 votesanswersviews
Asp.Net WebApi 上的自定义授权属性
使用 ASP.Net Web Api 授权用户时如何返回值?我尝试覆盖授权属性上的 OnAuthorize,但方法类型是'void',所以我不能返回任何值,或者我应该在标题上附加我想要的值作为响应头? 这是我想要达到的目标: 用户传递 api 密钥和共享密钥 当用户进行授权时,自定义属性将返回用户的 ID 和名称 Id 将用于传递 Rest Methods 作为参数 -
67 votesanswersviews
保护我的Node.js应用程序的REST API?
我可以在REST API上提供一些帮助 . 我正在编写一个Node.js应用程序,它使用Express,MongoDB并在客户端有Backbone.js . 我花了最近两天的时间试图弄清楚所有这一切并没有太多运气 . 我已经检查过了: Securing a REST API Securing my REST API with OAuth while still allowing authe... -
5 votesanswersviews
保护无会话的RESTful API endpoints
我为部分遵循this very good blog post by Riyad Kalla的项目创建了一个简单的RESTful API . 现在,我好像找到了我的安全问题的答案 . 简而言之,我的要求是这样的: 客户端有一个公共API密钥(纯文本,任何人都可以访问网络流量或正确检查代码源) 客户端使用公共API密钥向服务器发送请求 服务器有一个秘密API密钥(除了开发人员之外的任何人都... -
1991 votesanswersviews
为什么我的JavaScript在Postman没有时会出现“请求资源上没有'Access-Control-Allow-Origin'标头”错误?
我试图通过连接到Flask中内置的RESTful API来使用JavaScript进行授权 . 但是,当我发出请求时,我收到以下错误: XMLHttpRequest无法加载http:// myApiUrl / login . 请求的资源上不存在“Access-Control-Allow-Origin”标头 . 因此不允许原点'null'访问 . 我知道API或远程资源必须设置 Headers ... -
1 votesanswersviews
如何在camel处理器中获得用户角色? (Spring安全REST服务Camel)
我使用Spring安全性来保护对服务器上的休息服务的访问 . 应用程序使用Camel框架来处理请求/消息 . 因此,当请求通过spring安全性时,然后将它转换为Exchange类(我正在使用CXFRS组件),并由camel处理器准备进一步处理 . 处理交换的方式应取决于用户角色,但是: 如何从交换中带出用户? -
2 votesanswersviews
ASP Core 2.0 app.UseJwtBearerAuthentication失败
我使用dot net core 1.1开发了一个Web应用程序 . 它已经工作正常,直到我更新到asp核心2.0 . 然后,当尝试使用该应用程序时,它会报告此错误: InvalidOperationException:未指定authenticationScheme,并且未找到DefaultChallengeScheme . 在 Startup.cs 的 Configure 方法中,JwtBea... -
2 votesanswersviews
客户端移动应用程序和后端服务器之间的身份验证 - Openid Connect
我们对本机应用程序的最佳SSO解决方案进行了一些研究,发现OpenID connect非常适合移动解决方案 .我们尝试使用iOS库AppAuth作为客户端SDK,以便与OAuth 2.0和OpenID Connect提供商进行通信 . 此解决方案要求客户端在可以向其请求令牌之前使用IDP服务器进行注册 .OpenID Connect库返回授权授权的访问令牌和在安全JSON Web令牌(JWT)中编... -
0 votesanswersviews
检索Cloud Foundry OAuth令牌,但在POST到REST API时获取{“error”:“Not authorized”}
SAP Cloud 平台使用Cloud Foundry来托管其部分服务,如HyperLedger等 . 如果我手动执行以下操作: 我在https://login.cf.us10.hana.ondemand.com/login使用有效的用户名/密码登录到 Cloud 代工厂实例 然后将我重定向到另一个主机“blockchain-cockpit.cfapps.us10.hana.ondemand.co... -
7 votesanswersviews
FIle从休息客户端上传到休息服务器
我使用PhilSturgeon创建的codeigniter rest服务器库创建了一个rest服务器: github.com/philsturgeon/codeigniter-restserver 现在,我正在使用Codeignitor rest客户端: github.com/philsturgeon/codeigniter-restclient 来自/到休息服务器的数据 get / post... -
434 votesanswersviews
会话真的违反了RESTfulness吗?
在RESTful API中使用会话是否真的违反了RESTfulness?我看到很多意见朝着两个方向发展,但我不相信会话是无REST的 . 在我看来,我的观点是: RESTfulness不禁止 身份验证(否则在RESTful服务中几乎没有用) 身份验证是通过在请求中发送身份验证令牌来完成的,通常是标头 此身份验证令牌需要以某种方式获取并可能被撤销,在这种情况下需要续订 认证令牌需要由...