问题标签 [authentication]

我有一个作为 CGI 程序运行的 PHP 脚本，并且 HTTPAuthenticate标头被吃掉并吐出。所以我想实现某种基于 FORM 的身份验证。作为附加约束，没有数据库，因此不能存储会话数据。

我非常愿意拥有一个主用户名和密码。我只需要保护应用程序免受不知道这些凭据的入侵者的侵害。

那么你将如何实现呢？

饼干？

我可以出示表格，如果验证通过，我可以发回一个 cookie，该 cookie 是 IP 地址的散列来密码。然后我可以阻止页面呈现，除非事情正确解密。但我不知道如何在 PHP 中实现它。

我有一个在内部网络上运行的 ASP.net 应用程序（实际上它是在 Sharepoint 2007 上运行的）。

我只是好奇：

我可以以某种方式检索客户端正在使用的 PC 的名称吗？如果有帮助，我将有权访问 Active Directory。问题是，人们使用多台 PC。所以，我不能使用任何手动/静态映射。

如果可能，我不想使用任何客户端（阅读：JavaScript）代码，但如果不能在服务器端完成，JavaScript 也可以。ActiveX 是绝对不可能的。

我正在为我的公司开发一个基于网络的内部工具。该工具的一部分是另一个应用程序（Cruise Control Dashboard），它在我的根应用程序下的自己的虚拟目录中运行。

我想通过设置表单身份验证来限制对这个内部应用程序的访问，并在根应用程序中有一个登录表单。

我将以下内容放入根应用程序 web.config：

但是，表单身份验证似乎不起作用，当我直接访问该应用程序时，它不会重定向回登录页面。

我感觉我的 <allow> 和 <deny> 标签设置错误。有人可以澄清吗？

我正在做一些时髦的身份验证工作（是的，我知道，open-id 很棒，但是我的 open-id 现在又不能正常工作！）。

偶然发现 Windows CardSpace 我想知道是否有人在真实的产品系统中使用过它。如果你用过，对你有什么好处和坏处？我如何在我的开放 ID 中使用它？

我正在尝试在我们的一个内部站点上实施 NTLM 身份验证，并且一切正常。我没有的一个难题是如何从 NTLM 获取信息并使用 Active Directory 进行身份验证。

有一个很好的描述 NTLM和用于密码的加密，我用来实现这个，但我不确定如何验证用户的密码是否有效。

我正在使用 ColdFusion，但可以使用任何语言（Java、Python、PHP 等）解决这个问题。

编辑：

我在 Redhat Enterprise Linux 上使用 ColdFusion。不幸的是，我们不能使用 IIS 来管理它，而是必须为此编写或使用第三方工具。

更新-我得到了这个工作，这就是我所做的

我使用了samba.org 的 JCIFS 库。

请注意，以下方法仅适用于 NTLMv1，不适用于 NTLMv2。如果您无法使用 NTLMv1，您可以尝试Jespa，它支持 NTLMv2 但不是开源的，或者您可以使用Kerberos/SPNEGO。

这是我的 web.xml：

现在所有匹配的 URL/admin/*都需要 NTLM 身份验证。

我正在尝试构建一个 C# 控制台应用程序来自动从我们的网站获取某些文件，主要是为了节省我自己的点击次数，坦率地说，只是为了完成它。但是我遇到了一个我无法找到有效解决方案的障碍。

我正在尝试连接的网站使用 ASP.Net 表单授权，我无法弄清楚如何使用它来验证自己的身份。这个应用程序是一个完整的黑客，所以我可以硬编码我的用户名和密码或任何其他需要的身份验证信息，并且解决方案本身不需要是足够可行的东西来发布给一般用户。换句话说，如果唯一可能的解决方案是 hack，我可以接受。

基本上，我正在尝试使用 HttpWebRequest 来拉取具有文件列表的站点，遍历该列表，然后下载我需要的内容。因此，一旦我可以让网站认为我获得授权，该网站上的实际工作就相当简单了。

我正在寻找可以在我的 RoR 应用程序中使用的预构建解决方案。理想情况下，我正在寻找类似于 ASP.NET Forms 身份验证的东西，它提供电子邮件验证、注册控件并允许用户重置密码。哦，是的，并且很容易让我拉出当前登录到应用程序的用户。

我已经开始研究已经写好的文章，但我发现它真的很混乱。我看过 LoginGenerator、RestfulAuthentication、SaltedLoginGenerator，但似乎没有一个地方有很好的教程或提供它们的比较。如果有一个我还没有发现的网站，或者如果有一个大多数人使用的事实上的标准，我将不胜感激。

我正在尝试使用现有的 CAS 服务器对 Perl CGI Web 脚本的登录进行身份验证，并且正在使用AuthCAS Perl 模块（v 1.3.1）。我可以连接到 CAS 服务器以获取服务票证，但是当我尝试连接以验证票证时，我的脚本从IO::Socket::SSL模块返回以下错误：

症状/测试：

1. 如果我将生成的身份验证 URL 键入到 Web 浏览器的位置栏中，它会返回预期的 XML 片段。所以它不是一个糟糕的主机名。
2. 如果我在不使用 AuthCAS 模块但使用 IO::Socket::SSL 模块直接查询 CAS 服务器以对生成的服务票证进行验证的情况下生成脚本，则 Perl 脚本将从命令行正常运行，但不能在浏览器中运行。
3. 如果我将 AuthCAS 模块添加到第 2 项中的脚本中，则该脚本不再在命令行上运行，并且在浏览器中仍然无法运行。

这是产生错误的基本脚本：

关于冲突可能在哪里的任何想法？

错误来自引用的片段 Cebjyre 正上方的行，即

即套接字创建。所有输入参数都正确。我已经编辑了模块以放入调试语句并在调用之前打印出所有参数，它们都很好。看起来我将不得不更深入地研究 IO::Socket::SSL 模块。

有没有人设法让 Android 模拟器在需要身份验证的代理后面工作？

我尝试将 -http-proxy 参数设置为

但我没有成功。

我试过按照文档无济于事。我也尝试过-verbose-proxy设置，但这似乎不再存在。

任何指针？

在使用基于 WCF 构建的 API 时，确保您只需要进行一次身份验证的最佳方法是什么？

下面列出了我当前的绑定和行为

接下来是我在客户端应用程序中用来进行身份验证的内容（目前我每次想调用 WCF 时都必须这样做）

我想做的是使用这些凭据对 API 进行身份验证，然后在我的客户端应用程序使用 Web 服务项目的时间段内获取某种类型的令牌。我认为establishsecuritycontext=true 是为我做的吗？