问题标签 [authentication]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 使用本地用户帐户在 Windows 上基于 PHP 表单的身份验证
我正在运行 PHP、Apache 和 Windows。我没有域设置,所以我希望我的网站的基于表单的身份验证使用 Windows 内置的本地用户帐户数据库(我认为它称为 SAM)。
我知道如果设置了 Active Directory,您可以使用 PHP LDAP 模块在脚本中进行连接和身份验证,但没有 AD 就没有 LDAP。独立机器的等价物是什么?
security - 处理用户帐户身份验证和密码的最佳方法
在系统中处理用户帐户管理的最佳方法是什么,而不让您的员工有权访问数据库来访问帐户。
例子:
在数据库中存储用户名/密码。这是一个坏主意,因为任何有权访问数据库的人都可以看到用户名和密码。因此使用它。
存储用户名/密码哈希。这是一种更好的方法,但是可以通过将数据库中的密码哈希替换为您知道其身份验证信息的另一个帐户的哈希来访问该帐户。然后在授予访问权限后将其还原回数据库。
windows/*nix 是如何处理这个问题的?
asp.net - ASP.net Membership Provider - 在表单和集成身份验证之间切换
我正在编写一个 Web 应用程序,我希望能够使用指向 SQL 数据库的表单身份验证,或者在 Web 应用程序的不同安装中使用集成身份验证。我对任一提供商的用户身份验证都很好,但我对如何构建我的数据库有疑问。
目前我正在做的是使用代码:
然后,我使用返回的密钥(取决于提供者,它是 aspnetdb 数据库中的用户 ID,或 windows SID)作为他们创建的项目的用户 ID,等等。虽然用户 ID 字段与数据库中的用户表无关就像你传统上会做的那样。
有没有更好的方法来解决这个问题?我曾想过创建一个用户表,其中包含两个字段 UserID(内部)和 ExternalID(存储 Windows SID 或来自 aspnetdb 的 ID),然后在整个应用程序中使用内部 UserID,但它与成员资格不一样c# 中的类。
似乎有很多应用程序允许您在集成身份验证和 FBA 之间切换(首先想到的是 Sharepoint 2007),但我在网上找不到任何关于如何构建解决方案的好的教程。任何帮助将不胜感激。谢谢。
authentication - 贵公司如何管理凭据?
这是对建议甚至可能的解决方案的呼吁。我还没有在一家似乎真正让证书管理“正确”的公司工作。
我看过 excel/word 文档,甚至是便利贴“解决方案”。
但我的主要问题是正确的方法是什么?
我最初认为它会围绕 KeePass 展开,但是您将如何管理用户之间的这些数据库?
此外,在我见过的所有在线密码管理器中,没有一个是真正的多用户。
希望这可以带来一些观点,并对我没有看到任何好的答案的事情有所启发。
python - 我可以在没有 POST 的情况下在 python 中实现 Web 用户身份验证系统吗?
我的大学不支持 POST cgi 方法(我知道,这很疯狂),我希望能够拥有一个用户可以拥有用户名和密码并安全登录的系统。这甚至可能吗?
如果不是,您将如何使用 POST 进行操作?只是出于好奇。
干杯!
python - Python 身份验证 API
我正在寻找一个 python 库,它可以帮助我为正在编写的桌面应用程序创建身份验证方法。我在 django 或 turbogears 等 Web 框架中找到了几种方法。
我只想将一种用户名-密码关联存储到本地文件中。我可以自己写它,但我真的它已经存在并且将是一个更好的解决方案(我对加密不是很流利)。
language-agnostic - 软件令牌是多因素安全性中有效的第二个因素吗?
我们正在更改我工作场所的远程登录安全流程,我们担心新系统不会像旧系统那样使用多因素身份验证。(我们一直在使用 RSA 密钥卡,但由于成本原因正在更换它们。)新系统是一种反网络钓鱼图像系统,被误解为双因素身份验证系统。我们现在正在探索在不向用户发布硬件设备的情况下继续提供多因素安全性的方法。
是否可以编写一个基于软件的令牌系统以安装在用户的 PC 上,这将构成多因素身份验证系统中真正的第二因素?这会被认为是“用户拥有的东西”,还是仅仅是“用户知道的东西”的另一种形式?
编辑:phreakre对 cookie 提出了一个很好的观点。为了这个问题,假设 cookie 已被排除,因为它们不够安全。
asp.net - Architect Database 允许应用使用 Windows 集成身份验证或 FBA
我正在编写一个将分发的 Web 应用程序,我希望允许安装程序在使用集成身份验证或 FBA 之间进行选择。使用 web.config 在它们之间切换显然非常容易。我正在尝试确定如何最好地构建数据库和代码以接受来自 aspnetdb 的 windows-sid 或 UserID。
例如,WSS 3.0 允许 Windows 集成身份验证或使用任何成员资格提供程序的 FBA。他们如何在他们的数据库架构中处理这个问题?网络上有什么好的指南可以提供一些指导吗?
unix - 在大量主机上管理authorized_keys
跨大量主机管理 openssh 的 authorized_keys 文件的最简单方法是什么?如果我需要为 10 台主机上的帐户添加或撤销新密钥,我必须手动登录并添加公钥,或者通过笨拙的 shell 脚本添加公钥,这非常耗时。
理想情况下,将有一个中央数据库将密钥链接到具有某种分组支持的帐户@机器(IE,将此密钥添加到 web 类别中所有服务器上的用户名 X)。有支持 ldap 的 SSH 分支,但我宁愿使用主线 SSH 包。
postgresql - PostgreSQL 8.3 权限未更新 - 使用错误?
我在向 PostgreSQL 8.3 中的另一个用户授予权限时遇到问题。虽然 GRANT 命令没有给我任何错误,但权限并没有显示出来。我需要“冲洗”它们吗?