คำถามติดแท็ก token

ฉันต้องการเข้าใจว่าการรับรองความถูกต้องโดยใช้โทเค็นหมายถึงอะไร ฉันค้นหาอินเทอร์เน็ต แต่ไม่พบสิ่งที่เข้าใจได้

514 security  authentication  token  http-token-authentication 

ฉันแยกวิเคราะห์สตริงใน C ++ โดยใช้สิ่งต่อไปนี้: using namespace std; string parsed,input="text to be parsed"; stringstream input_stringstream(input); if (getline(input_stringstream,parsed,' ')) { // do some processing. } การแยกวิเคราะห์ด้วยตัวคั่นถ่านเดียวเป็นเรื่องปกติ แต่ถ้าฉันต้องการใช้สตริงเป็นตัวคั่น ตัวอย่าง: ฉันต้องการแยก: scott>=tiger ด้วย>=ตัวคั่นเพื่อที่ฉันจะได้สกอตต์และเสือ

361 c++  parsing  split  token  tokenize 

จากสิ่งที่ฉันได้เรียนรู้มาจนถึงจุดประสงค์ของโทเค็นคือเพื่อป้องกันไม่ให้ผู้โจมตีปลอมแปลงการส่งแบบฟอร์ม ตัวอย่างเช่นหากเว็บไซต์มีแบบฟอร์มที่ใส่รายการเพิ่มลงในตะกร้าสินค้าของคุณและผู้โจมตีสามารถส่งสแปมตะกร้าสินค้าของคุณด้วยรายการที่คุณไม่ต้องการ เรื่องนี้สมเหตุสมผลเพราะอาจมีอินพุตที่ถูกต้องหลายอย่างสำหรับแบบฟอร์มตะกร้าสินค้าผู้โจมตีทั้งหมดจะต้องทำคือรู้ว่ารายการที่เว็บไซต์ขาย ฉันเข้าใจว่าโทเค็นทำงานอย่างไรและเพิ่มความปลอดภัยในกรณีนี้เพราะพวกเขามั่นใจว่าผู้ใช้ได้กรอกและกดปุ่ม "ส่ง" ของแบบฟอร์มสำหรับแต่ละรายการที่เพิ่มลงในรถเข็น อย่างไรก็ตามโทเค็นจะเพิ่มความปลอดภัยให้กับฟอร์มการเข้าสู่ระบบของผู้ใช้ซึ่งต้องใช้ชื่อผู้ใช้และรหัสผ่านหรือไม่ เนื่องจากชื่อผู้ใช้และรหัสผ่านนั้นแตกต่างกันมากผู้โจมตีจึงต้องรู้ทั้งคู่เพื่อให้การปลอมตัวเข้าสู่ระบบทำงานได้ (แม้ว่าคุณจะไม่ได้ติดตั้งโทเค็น) และหากผู้โจมตีรู้แล้วเขาก็สามารถลงชื่อเข้าใช้เว็บไซต์ได้ ตัวเขาเอง. ไม่ต้องพูดถึงการโจมตี CSRF ที่ทำให้ผู้ใช้ลงชื่อเข้าใช้ด้วยตนเองจะไม่มีวัตถุประสงค์ในทางปฏิบัติใด ๆ ความเข้าใจของฉันเกี่ยวกับการโจมตีและโทเค็น CSRF ถูกต้องหรือไม่ และพวกเขาไม่มีประโยชน์อะไรสำหรับแบบฟอร์มการเข้าสู่ระบบของผู้ใช้ตามที่ฉันสงสัย?

161 php  token  csrf 

ฉันพยายามเขียนโปรแกรมที่ชื่อของฟังก์ชั่นบางอย่างขึ้นอยู่กับค่าของตัวแปรมาโครที่มีมาโครเช่นนี้ #define VARIABLE 3 #define NAME(fun) fun ## _ ## VARIABLE int NAME(some_function)(int a); น่าเสียดายที่แมโครNAME()กลายเป็นสิ่งนั้น int some_function_VARIABLE(int a); ค่อนข้างมากกว่า int some_function_3(int a); ดังนั้นนี่เป็นวิธีที่ผิดอย่างชัดเจนที่จะไปเกี่ยวกับมัน โชคดีที่จำนวนของค่าที่เป็นไปได้ที่แตกต่างกันสำหรับ VARIABLE มีขนาดเล็กดังนั้นฉันจึงสามารถทำ#if VARIABLE == nและแยกรายการเคสทั้งหมด แต่ฉันสงสัยว่ามีวิธีที่ชาญฉลาดในการทำหรือไม่

152 c  concatenation  token  c-preprocessor 

ฉันจะใช้ oAuth เพื่อดึงอีเมลและรายชื่อติดต่อจาก Google ฉันไม่ต้องการขอให้ผู้ใช้ทุกครั้งที่เข้าสู่ระบบเพื่อรับโทเค็นการเข้าถึงและความลับ จากสิ่งที่ฉันเข้าใจฉันจำเป็นต้องจัดเก็บไว้กับแอปพลิเคชันของฉันทั้งในฐานข้อมูลหรือSharedPreferences. แต่ฉันค่อนข้างกังวลเกี่ยวกับด้านความปลอดภัยเกี่ยวกับเรื่องนี้ ฉันอ่านว่าคุณสามารถเข้ารหัสและถอดรหัสโทเค็นได้ แต่ผู้โจมตีเพียงแค่ถอดรหัส apk และคลาสของคุณและรับคีย์การเข้ารหัสนั้นเป็นเรื่องง่าย วิธีใดดีที่สุดในการจัดเก็บโทเค็นเหล่านี้อย่างปลอดภัยใน Android

123 android  security  oauth  preferences  token 

ฉันกำลังเรียนรู้บางอย่างเกี่ยวกับ Authorization เช่น Basic, Digest, OAuth2.0, JWTs และ Bearer Token ตอนนี้ฉันมีคำถาม คุณทราบดีว่ามีการใช้ JWT เป็น Access_Token ในมาตรฐาน OAuth2.0 JWT ปรากฏที่ RFC 7519 และ Bearer Token อยู่ที่ RFC 6750 ตัวอย่างเช่นผู้ถือ: Authorization: Bearer <token> ฉันเคยส่งโทเค็นไปยังเซิร์ฟเวอร์โดย AJAX หรือเพิ่มโทเค็นลงในสตริงการสืบค้นของ url ฉันรู้ว่าโทเค็นสามารถส่งได้โดยเพิ่มลงในส่วนหัวของคำขอ นั่นหมายความว่าควรเพิ่มโทเค็นในส่วนหัว Authorization Bearer หรือไม่ คุณช่วยบอกความสัมพันธ์ระหว่าง JWTs และ Bearer Token ได้ไหม ขอบคุณมาก.

121 oauth  token  jwt 

ในแอปตอบกลับของฉันฉันใช้axiosเพื่อดำเนินการร้องขอ REST api แต่ไม่สามารถส่งส่วนหัวการให้สิทธิ์พร้อมคำขอได้ นี่คือรหัสของฉัน: tokenPayload() { let config = { headers: { 'Authorization': 'Bearer ' + validToken() } } Axios.post( 'http://localhost:8000/api/v1/get_token_payloads', config ) .then( ( response ) => { console.log( response ) } ) .catch() } นี่คือvalidToken()วิธีการก็จะกลับมาจากการจัดเก็บโทเค็นเบราว์เซอร์ คำขอทั้งหมดมีการตอบสนองข้อผิดพลาด 500 รายการโดยแจ้งว่า ไม่สามารถแยกวิเคราะห์โทเค็นจากคำขอได้ จากด้านหลัง จะส่งส่วนหัวการให้สิทธิ์กับแต่ละคำขอได้อย่างไร คุณจะแนะนำโมดูลอื่น ๆ ที่มีปฏิกิริยาหรือไม่?

119 reactjs  rest  token  axios  access-token 

กรุณาอธิบายการทำงานของstrtok()ฟังก์ชัน คู่มือระบุว่าแบ่งสตริงออกเป็นโทเค็น ฉันไม่เข้าใจจากคู่มือว่ามันทำอะไรได้จริง ฉันเพิ่มนาฬิกาstrและ*pchเพื่อตรวจสอบการทำงานเมื่อเกิดขึ้นในขณะที่ลูปครั้งแรกเนื้อหาstrมีเพียง "สิ่งนี้" ผลลัพธ์ที่แสดงด้านล่างถูกพิมพ์ออกมาบนหน้าจออย่างไร? /* strtok example */ #include <stdio.h> #include <string.h> int main () { char str[] ="- This, a sample string."; char * pch; printf ("Splitting string \"%s\" into tokens:\n",str); pch = strtok (str," ,.-"); while (pch != NULL) { printf ("%s\n",pch); pch = strtok (NULL, …

114 c  string  split  token  strtok 

ปิด . คำถามนี้เป็นคำถามความคิดเห็นตาม ขณะนี้ยังไม่ยอมรับคำตอบ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบได้ด้วยข้อเท็จจริงและการอ้างอิงโดยแก้ไขโพสต์นี้ ปิดให้บริการเมื่อปีที่แล้ว ปรับปรุงคำถามนี้ (เกิดจากหัวข้อนี้ตั้งแต่นี้เป็นจริงคำถามที่เฉพาะเจาะจงของตัวเองและไม่ให้ NodeJS ฯลฯ ) ฉันกำลังใช้เซิร์ฟเวอร์ REST API ด้วยการพิสูจน์ตัวตนและฉันได้ใช้การจัดการโทเค็น JWT สำเร็จแล้วเพื่อให้ผู้ใช้สามารถเข้าสู่ระบบผ่านปลายทาง / login ด้วยชื่อผู้ใช้ / รหัสผ่านซึ่งโทเค็น JWT ถูกสร้างขึ้นจากความลับของเซิร์ฟเวอร์และส่งกลับไปที่ ลูกค้า. จากนั้นโทเค็นจะถูกส่งผ่านจากไคลเอนต์ไปยังเซิร์ฟเวอร์ในแต่ละคำขอ API ที่พิสูจน์ตัวตนซึ่งใช้ความลับของเซิร์ฟเวอร์เพื่อตรวจสอบโทเค็น อย่างไรก็ตามฉันพยายามทำความเข้าใจแนวทางปฏิบัติที่ดีที่สุดว่าควรตรวจสอบโทเค็นอย่างไรและเพียงใดเพื่อสร้างระบบที่ปลอดภัยอย่างแท้จริง สิ่งที่ควรเกี่ยวข้องในการ "ตรวจสอบ" โทเค็นหรือไม่ เพียงพอหรือไม่ที่สามารถตรวจสอบลายเซ็นโดยใช้ความลับของเซิร์ฟเวอร์ได้หรือฉันควรตรวจสอบโทเค็นและ / หรือเพย์โหลดโทเค็นกับข้อมูลบางอย่างที่เก็บไว้ในเซิร์ฟเวอร์ ระบบตรวจสอบความถูกต้องโดยใช้โทเค็นจะปลอดภัยพอ ๆ กับการส่งชื่อผู้ใช้ / รหัสผ่านในแต่ละคำขอโดยมีเงื่อนไขว่าจะได้รับโทเค็นเท่ากันหรือยากกว่าการได้รับรหัสผ่านของผู้ใช้ อย่างไรก็ตามในตัวอย่างที่ฉันเห็นข้อมูลเดียวที่จำเป็นในการสร้างโทเค็นคือชื่อผู้ใช้และความลับฝั่งเซิร์ฟเวอร์ นี่ไม่ได้หมายความว่าสมมติว่าผู้ใช้ที่เป็นอันตรายได้รับความรู้เกี่ยวกับความลับของเซิร์ฟเวอร์เป็นเวลาหนึ่งนาทีตอนนี้เขาสามารถสร้างโทเค็นในนามของผู้ใช้รายใดก็ได้ดังนั้นการเข้าถึงไม่เพียง แต่ให้กับผู้ใช้ที่ได้รับรายเดียวตามความเป็นจริงถ้ารหัสผ่านคือ ได้รับ แต่ในความเป็นจริงสำหรับบัญชีผู้ใช้ทั้งหมด ? สิ่งนี้นำฉันไปสู่คำถาม: 1) การตรวจสอบโทเค็น …

111 security  authentication  token  jwt  secret-key 

ฉันใช้โทเค็นการรีเฟรชหลายครั้งในช่วงเวลาสั้น ๆ เพื่อการทดสอบ แต่ฉันสงสัยว่าโทเค็นการรีเฟรชของ Google จะหมดอายุหรือไม่ ฉันสามารถใช้โทเค็นการรีเฟรชเดียวกันเพื่อรับโทเค็นการเข้าถึงใหม่ครั้งแล้วครั้งเล่าเป็นเวลานาน (หนึ่งสัปดาห์หรือหลายเดือน) ได้หรือไม่

111 api  google-api  token  access-token 

ฉันจะตรวจสอบการเชื่อมต่อ socket.io ได้อย่างไร? แอปพลิเคชันของฉันใช้ปลายทางการเข้าสู่ระบบจากเซิร์ฟเวอร์อื่น (python) เพื่อรับโทเค็นฉันจะใช้โทเค็นนั้นได้อย่างไรเมื่อใดก็ตามที่ผู้ใช้เปิดการเชื่อมต่อซ็อกเก็ตที่ฝั่งโหนด io.on('connection', function(socket) { socket.on('message', function(message) { io.emit('message', message); }); }); และฝั่งไคลเอ็นต์: var token = sessionStorage.token; var socket = io.connect('http://localhost:3000', { query: 'token=' + token }); หากโทเค็นถูกสร้างขึ้นใน python: token = jwt.encode(payload, SECRET_KEY, algorithm='HS256') ฉันจะใช้โทเค็นนี้เพื่อตรวจสอบการเชื่อมต่อซ็อกเก็ตในโหนดได้อย่างไร

111 node.js  socket.io  jwt  token 

ฉันต้องการสร้างมาโคร C ที่สร้างฟังก์ชันด้วยชื่อตามหมายเลขบรรทัด ฉันคิดว่าฉันสามารถทำอะไรบางอย่างได้ (ฟังก์ชันจริงจะมีข้อความอยู่ในเครื่องหมายวงเล็บ): #define UNIQUE static void Unique_##__LINE__(void) {} ซึ่งฉันหวังว่าจะขยายไปสู่สิ่งที่ชอบ: static void Unique_23(void) {} ไม่ได้ผล ด้วยการต่อโทเค็นมาโครการกำหนดตำแหน่งจะได้รับการปฏิบัติตามตัวอักษรโดยขยายเป็น: static void Unique___LINE__(void) {} เป็นไปได้ไหมที่จะทำ? (ใช่มีเหตุผลจริงๆที่ฉันอยากทำไม่ว่ามันจะดูไร้ประโยชน์แค่ไหนก็ตาม)

107 c  macros  concatenation  token 

ฉันต้องการสร้างตัวระบุสำหรับลืมรหัสผ่าน ฉันอ่านว่าฉันสามารถทำได้โดยใช้การประทับเวลากับ mt_rand () แต่บางคนบอกว่าการประทับเวลาอาจไม่ซ้ำกันทุกครั้ง ดังนั้นฉันค่อนข้างสับสนที่นี่ ฉันสามารถใช้การประทับเวลากับสิ่งนี้ได้หรือไม่? คำถาม แนวทางปฏิบัติที่ดีที่สุดในการสร้างโทเค็นแบบสุ่ม / ไม่ซ้ำแบบกำหนดเองคืออะไร? ฉันรู้ว่ามีคำถามมากมายที่ถามอยู่ที่นี่ แต่ฉันเริ่มสับสนมากขึ้นหลังจากอ่านความเห็นที่แตกต่างจากคนอื่น

96 php  security  random  timestamp  token 

ฉันมี URI คำขอและโทเค็น ถ้าฉันใช้: curl -s "<MY_URI>" -H "Authorization: TOK:<MY_TOKEN>" ฯลฯ ฉันได้รับ 200 และดูข้อมูล JSON ที่เกี่ยวข้อง ดังนั้นฉันจึงติดตั้งคำขอและเมื่อฉันพยายามเข้าถึงทรัพยากรนี้ฉันได้รับ 403 อาจเป็นเพราะฉันไม่รู้ไวยากรณ์ที่ถูกต้องในการส่งโทเค็นนั้น ใครสามารถช่วยฉันคิดออก นี่คือสิ่งที่ฉันมี: import sys,socket import requests r = requests.get('<MY_URI>','<MY_TOKEN>') r. status_code ฉันลองแล้ว: r = requests.get('<MY_URI>',auth=('<MY_TOKEN>')) r = requests.get('<MY_URI>',auth=('TOK','<MY_TOKEN>')) r = requests.get('<MY_URI>',headers=('Authorization: TOK:<MY_TOKEN>')) แต่ไม่มีงานเหล่านี้

95 python  get  authorization  token  python-requests 

บนไซต์ของเราเราจัดเตรียมการจำลองให้กับผู้ใช้ตามข้อมูลส่วนตัวของพวกเขา (มอบให้ผ่านแบบฟอร์ม) เราต้องการอนุญาตให้พวกเขากลับไปที่ผลการจำลองในภายหลัง แต่ไม่ต้องบังคับให้สร้างบัญชีล็อกอิน / รหัสผ่าน เราคิดว่าจะส่งอีเมลพร้อมลิงก์ให้พวกเขาเพื่อให้พวกเขาได้รับผลลัพธ์กลับมา แต่โดยปกติแล้วเราต้องรักษาความปลอดภัย URL นี้เนื่องจากข้อมูลส่วนตัวเป็นอันตราย ดังนั้นเราจึงตั้งใจที่จะส่งโทเค็น (เช่นตัวอักษรและตัวเลขผสมกัน 40 อักขระหรือแฮช MD5) ใน URL และใช้ SSL สุดท้ายพวกเขาจะได้รับอีเมลในลักษณะนี้: สวัสดีรับ ผลลัพธ์ของคุณกลับมาที่ https://www.example.com/load_simulation?token=uZVTLBCWcw33RIhvnbxTKxTxM2rKJ7YJrwyUXhXn คุณคิดอย่างไรกับมัน? มีความปลอดภัยเพียงพอหรือไม่ คุณจะแนะนำอะไรฉันสำหรับการสร้างโทเค็น สิ่งที่เกี่ยวกับการส่งพารามิเตอร์ URL ในคำขอ https

91 security  url  https  token