คำถามติดแท็ก authentication

ใครสามารถให้คำอธิบายทีละขั้นตอนเกี่ยวกับวิธีการตรวจสอบความถูกต้องตามคุกกี้ได้ ฉันไม่เคยทำอะไรเกี่ยวกับการรับรองความถูกต้องหรือคุกกี้ เบราว์เซอร์ต้องทำอะไร เซิร์ฟเวอร์ต้องการทำอะไร ในลำดับใด เราจะรักษาสิ่งต่าง ๆ ให้ปลอดภัยได้อย่างไร ฉันได้อ่านเกี่ยวกับการรับรองความถูกต้องหลายประเภทและเกี่ยวกับคุกกี้แล้ว แต่ฉันต้องการคำอธิบายพื้นฐานเกี่ยวกับวิธีการใช้สองวิธีด้วยกัน - ฉันแค่อ่านว่าพวกเขามักจะใช้ร่วมกัน แต่ไม่สามารถหาคำอธิบายได้อย่างไร

210 authentication  cookies  browser 

ฉันพยายามใช้การพิสูจน์ตัวตนแบบไร้รัฐกับ JWT สำหรับ RESTful API ของฉัน AFAIK, JWT นั้นเป็นสตริงเข้ารหัสที่ส่งผ่านเป็นส่วนหัว HTTP ในระหว่างการเรียกใช้ REST แต่ถ้ามีคนดักฟังที่เห็นคำขอและขโมยโทเค็นล่ะ? จากนั้นเขาจะสามารถปลอมแปลงคำขอด้วยตัวตนของฉันได้อย่างไร อันที่จริงความกังวลนี้ใช้กับทุกการตรวจสอบ token-based จะป้องกันได้อย่างไร ช่องทางที่ปลอดภัยเช่น HTTPS

203 authentication  access-token  jwt 

ฉันกำลังใช้ Windows Vista และฉันมีปัญหาในการเข้าสู่ระบบด้วยผู้ใช้ที่เพิ่งสร้างใหม่ ฉันเปิด Studio จัดการเซิร์ฟเวอร์ SQL ฉันสร้างการเข้าสู่ระบบใหม่โดยคลิกขวาที่ความปลอดภัย -> เข้าสู่ระบบ ตรวจสอบ: การพิสูจน์ตัวจริงของเซิร์ฟเวอร์ SQL ชื่อล็อกอิน: เครื่องทดสอบ รหัสผ่าน: ทดสอบ คลิกตกลง ฉันเพิ่มผู้ใช้รายนี้ในการจับคู่ผู้ใช้ไปยังฐานข้อมูลที่ฉันเลือก คลิกไฟล์ -> เชื่อมต่อ Object Explorer เลือกการรับรองความถูกต้องของเซิร์ฟเวอร์ SQL และป้อนผู้ทดสอบ / ทดสอบและคลิกเชื่อมต่อ ฉันได้รับข้อผิดพลาด: Login failed for user 'tester'. (Microsoft SQL Server, Error: 18456" with Severity = 14 and State = 1. อะไรเป็นสาเหตุของข้อผิดพลาดนี้และฉันจะเข้าสู่ระบบด้วยผู้ใช้ของฉันได้อย่างไร

200 sql-server  authentication  login  ssms 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับ Stack Overflow ปิดให้บริการใน8 ปีที่ผ่านมา ปรับปรุงคำถามนี้ ฉันติดตั้ง PostgreSQL 8.4 บนเซิร์ฟเวอร์ CentOS ของฉันและเชื่อมต่อกับผู้ใช้รูทจากเชลล์และเข้าถึงเชลล์ PostgreSQL ฉันสร้างฐานข้อมูลและผู้ใช้ใน PostgreSQL ในขณะที่พยายามเชื่อมต่อจากสคริปต์ PHP ของฉันมันแสดงให้ฉันเห็นการตรวจสอบล้มเหลว ฉันจะสร้างผู้ใช้ใหม่และวิธีการให้สิทธิ์สำหรับฐานข้อมูลเฉพาะได้อย่างไร

199 database  postgresql  authentication  connection 

DigestและBasicแตกต่างกันอย่างไร Authenticationอย่างไร

197 http  authentication  https  basic-authentication  digest-authentication 

ภาพรวม ฉันต้องการสร้าง API (REST) ​​สำหรับแอปพลิเคชันของฉัน วัตถุประสงค์เริ่มต้น / หลักจะใช้เพื่อการบริโภคโดยแอพมือถือ (iPhone, Android, Symbian และอื่น ๆ ) ฉันได้ดูกลไกที่แตกต่างกันสำหรับการรับรองความถูกต้องและการอนุญาตสำหรับ API บนเว็บ (โดยศึกษาการใช้งานอื่น ๆ ) ฉันมีหัวของฉันห่อหุ้มแนวคิดพื้นฐานส่วนใหญ่ แต่ฉันยังคงมองหาคำแนะนำในบางพื้นที่ สิ่งสุดท้ายที่ฉันต้องการทำคือสร้างวงล้อใหม่ แต่ฉันไม่พบวิธีแก้ปัญหามาตรฐานใด ๆ ที่เหมาะกับเกณฑ์ของฉัน (แต่เกณฑ์ของฉันถูกเข้าใจผิด นอกจากนี้ฉันต้องการให้ API เหมือนกันสำหรับทุกแพลตฟอร์ม / แอปพลิเคชันที่ใช้งาน oAuth ฉันจะไปข้างหน้าและคัดค้าน oAuth เนื่องจากฉันรู้ว่าน่าจะเป็นทางออกแรกที่เสนอ สำหรับแอปพลิเคชันมือถือ (หรือโดยเฉพาะที่ไม่ใช่เว็บแอปพลิเคชัน) ดูเหมือนว่าผิดที่จะออกจากแอปพลิเคชัน (ไปที่เว็บเบราว์เซอร์) สำหรับการตรวจสอบสิทธิ์ นอกจากนี้ไม่มีทาง (ฉันรู้) สำหรับเบราว์เซอร์ที่จะส่งกลับไปที่แอปพลิเคชัน (โดยเฉพาะข้ามแพลตฟอร์ม) ฉันรู้ว่ามีแอพสองตัวที่ทำเช่นนั้น แต่มันก็รู้สึกผิดและหยุดพักในแอปพลิเคชัน UX ความต้องการ ผู้ใช้ป้อนชื่อผู้ใช้ …

189 api  authentication  rest  oauth  mobile-application 

ปิด. คำถามนี้ไม่เป็นไปตามหลักเกณฑ์กองมากเกิน ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับ Stack Overflow ปิดเมื่อเดือนที่แล้ว ปรับปรุงคำถามนี้ สำหรับการสร้าง RESTful APIs และแอป Front-end ใน Go คุณจะจัดการการรับรองความถูกต้องอย่างไร คุณใช้ห้องสมุดหรือเทคนิคเฉพาะหรือไม่? ฉันประหลาดใจที่พบการสนทนาเล็กน้อยเกี่ยวกับเรื่องนี้ ฉันจำคำตอบดังต่อไปนี้และพยายามหลีกเลี่ยงการพัฒนาการใช้งานของฉัน: แบบฟอร์มการรับรองความถูกต้องใน ASP.Net ทุกคนเขียนรหัสโซลูชันของตนเองแยกกันหรือไม่

187 authentication  go 

โปรแกรมเมอร์ผู้เริ่มต้นที่นี่โปรดอภัยความไม่รู้และคำอธิบายจะดีจริงๆ :) ฉันพยายามอ่านบทแนะนำสำหรับบริการ OAuth 2.0 บางอย่าง แต่ฉันไม่เข้าใจ URI การเปลี่ยนเส้นทางนี้ ... ในบริบทเฉพาะของฉันสมมติว่าฉันกำลังพยายามสร้างแอป iPhone ที่ใช้ OAuth 2.0 สำหรับบริการบางอย่าง . ฉันมีรหัสแอปที่สร้างขึ้น แต่ฉันต้องจัดเตรียม URI การเปลี่ยนเส้นทางบางอย่างเพื่อสร้างคีย์ API นี่เป็น URL ที่ฉันควรจะโฮสต์ด้วยตัวเองหรือไม่? ตามชื่อที่แนะนำฉันคิดว่า URL การเปลี่ยนเส้นทางควรจะ "เปลี่ยนเส้นทาง" บางคน ฉันเดาเพียงว่ามันเป็น URL ที่ผู้ใช้ถูกเปลี่ยนเส้นทางไปหลังจากพวกเขาเข้าสู่บริการ อย่างไรก็ตามแม้ว่าข้อสันนิษฐานนั้นจะถูกต้อง แต่ฉันไม่เข้าใจสิ่งอื่น - แอพของฉันจะเปิดอีกครั้งได้อย่างไรหลังจากที่ฉันส่งพวกเขาไปยังเบราว์เซอร์สำหรับการเข้าสู่ระบบของผู้ใช้

184 ios  authentication  uri  oauth-2.0 

หากฉันต้องการเก็บชื่อผู้ใช้และรหัสผ่านไว้ในแอปพลิเคชัน Android วิธีที่ดีที่สุดในการทำคืออะไร มันผ่านหน้าจอการตั้งค่า (แต่จะเกิดอะไรขึ้นหากผู้ใช้พลาดสิ่งนี้?) หรือเปิดกล่องข้อความขึ้นมาแล้วถามผู้ใช้เพื่อรับข้อมูลรับรอง ถ้าเป็นเช่นนั้นฉันจะต้องรักษาสถานะสำหรับแอปพลิเคชัน ฉันจะทำสิ่งนี้ได้อย่างไร

178 android  authentication  storage  credentials 

เป็นไปได้ไหมที่จะใช้ไฟล์. netrc บน Windows เมื่อฉันใช้ Git เพื่อโคลนที่เก็บข้อมูลระยะไกลด้วย HTTP และรหัสผ่านผู้ใช้?

172 windows  git  authentication 

ฉันอ่านเกี่ยวกับ OAuth แล้วและมันยังพูดถึงจุดสิ้นสุด จุดสิ้นสุดคืออะไร?

172 api  authentication  oauth  endpoint 

ฉันได้เห็นหน้าเว็บที่คล้ายกันมากมายบนเว็บ แต่ส่วนใหญ่ใช้โครงการใหม่แทนที่จะเป็นเพจที่มีอยู่หรือไม่มีคุณสมบัติที่จำเป็น ดังนั้นฉันมีMVC 5โครงการที่มีอยู่และต้องการรวมASP.NET MVC5 Identity เข้าสู่ระบบยืนยันอีเมลและคุณสมบัติรีเซ็ตรหัสผ่าน นอกจากนี้ฉันยังต้องสร้างตารางที่จำเป็นทั้งหมดในฐานข้อมูลเช่นผู้ใช้บทบาทกลุ่ม ฯลฯ (ฉันใช้ EF Code First ในโครงการของฉัน) มีบทความหรือตัวอย่างที่สอดคล้องกับความต้องการเหล่านี้หรือไม่? ข้อเสนอแนะใด ๆ ที่จะได้รับการชื่นชม ขอบคุณล่วงหน้า...

164 asp.net  asp.net-mvc  authentication  asp.net-identity  owin 

ฉันทำงานกับแอปพลิเคชัน ASP.NET Core ฉันกำลังพยายามใช้การรับรองความถูกต้องโดยใช้ Token แต่ไม่สามารถหาวิธีใช้ระบบรักษาความปลอดภัยใหม่สำหรับกรณีของฉันได้ ฉันดูตัวอย่างแล้วแต่พวกเขาก็ไม่ได้ช่วยอะไรมากพวกเขาใช้การตรวจสอบความถูกต้องคุกกี้หรือการตรวจสอบภายนอก (GitHub, Microsoft, Twitter) สถานการณ์ของฉันคืออะไร: แอปพลิเคชัน angularjs ควรขอ/tokenชื่อผู้ใช้และรหัสผ่าน URL ที่ผ่าน WebApi ควรอนุญาตผู้ใช้และส่งคืนaccess_tokenซึ่งแอป angularjs จะใช้ในคำขอต่อไปนี้ ฉันได้พบบทความที่ยอดเยี่ยมเกี่ยวกับการใช้สิ่งที่ฉันต้องการใน ASP.NET - Token Based Authentication โดยใช้ ASP.NET Web API 2, Owin และ Identityรุ่นปัจจุบัน แต่ไม่ชัดเจนสำหรับฉันว่าจะทำสิ่งเดียวกันใน ASP.NET Core ได้อย่างไร คำถามของฉันคือ: วิธีการกำหนดค่าแอปพลิเคชัน ASP.NET Core WebApi ให้ทำงานกับการตรวจสอบความถูกต้องด้วยโทเค็น

161 c#  authentication  asp.net-web-api  access-token  asp.net-core 

ฉันกำลังใช้การอัปโหลดไฟล์โดยตรงจากเครื่องไคลเอนต์ไปยัง Amazon S3 ผ่าน REST API โดยใช้ JavaScript เท่านั้นโดยไม่มีรหัสฝั่งเซิร์ฟเวอร์ ทำงานได้ดี แต่มีสิ่งหนึ่งที่ทำให้ฉันกังวล ... เมื่อฉันส่งคำขอไปยัง Amazon S3 REST API ฉันต้องลงชื่อคำขอและใส่ลายเซ็นในAuthenticationส่วนหัว ในการสร้างลายเซ็นฉันต้องใช้รหัสลับของฉัน แต่ทุกสิ่งเกิดขึ้นในฝั่งไคลเอ็นต์ดังนั้นคีย์ลับสามารถเปิดเผยได้อย่างง่ายดายจากแหล่งที่มาของหน้าเว็บ (แม้ว่าฉันจะทำให้งงงวย / เข้ารหัสแหล่งที่มาของฉัน) ฉันจะจัดการสิ่งนี้ได้อย่างไร และมันเป็นปัญหาหรือเปล่า? บางทีฉันสามารถ จำกัด การใช้คีย์ส่วนตัวที่เจาะจงเฉพาะกับการเรียกใช้ REST API จาก CORS Origin ที่เฉพาะเจาะจงและเฉพาะวิธี PUT และ POST หรืออาจเชื่อมโยงคีย์ไปที่ S3 เท่านั้นและที่เก็บข้อมูลเฉพาะ อาจจะมีวิธีการรับรองความถูกต้องอื่นได้หรือไม่ โซลูชัน "Serverless" นั้นเหมาะสมที่สุด แต่ฉันสามารถพิจารณาเกี่ยวกับการประมวลผลเซิร์ฟเวอร์บางตัวได้ยกเว้นการอัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ของฉันแล้วส่งไปยัง S3

159 javascript  amazon-web-services  authentication  amazon-s3 

ฉันรู้ว่าการตรวจสอบตามคุกกี้ สามารถใช้การตั้งค่า SSL และ HttpOnly เพื่อป้องกันการตรวจสอบตามคุกกี้จาก MITM และ XSS อย่างไรก็ตามจำเป็นต้องใช้มาตรการพิเศษเพิ่มเติมเพื่อป้องกันจาก CSRF พวกมันซับซ้อนเล็กน้อย ( อ้างอิง ) เมื่อเร็ว ๆ นี้ฉันค้นพบว่า JSON Web Token (JWT) ค่อนข้างร้อนในฐานะโซลูชั่นสำหรับการตรวจสอบสิทธิ์ ฉันรู้เกี่ยวกับการเข้ารหัสถอดรหัสและตรวจสอบ JWT อย่างไรก็ตามฉันไม่เข้าใจว่าทำไมบางเว็บไซต์ / บทช่วยสอนไม่จำเป็นต้องมีการป้องกัน CSRF หากใช้ JWT ฉันได้อ่านค่อนข้างมากและพยายามสรุปปัญหาด้านล่าง ฉันแค่ต้องการให้ใครบางคนสามารถให้ภาพรวมของ JWT และชี้แจงแนวคิดที่ฉันเข้าใจผิดเกี่ยวกับ JWT หาก JWT ถูกเก็บไว้ในคุกกี้ฉันคิดว่าเป็นเช่นเดียวกับการรับรองความถูกต้องที่อิงกับคุกกี้ยกเว้นว่าเซิร์ฟเวอร์ไม่จำเป็นต้องมีเซสชันเพื่อตรวจสอบคุกกี้ / โทเค็น ยังมีความเสี่ยงเกี่ยวกับ CSRF หากไม่มีมาตรการพิเศษดำเนินการ JWT ไม่ถูกจัดเก็บในคุกกี้หรือไม่? หาก JWT ถูกเก็บไว้ใน localStorage …

159 security  authentication  cookies  csrf  jwt