问题标签 [authentication]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
3165 浏览

c# - 如何 TDD 自定义会员提供者和自定义会员用户?

我需要为 ASP.NET mvc 应用程序创建一个自定义成员用户和提供程序,并且我希望使用 TDD。我创建了一个继承自 MembershipUser 类的 User 类,但是当我尝试对其进行测试时,我得到了一个我无法弄清楚的错误。如何给它一个有效的提供者名称?我只需要将它添加到 web.config 中吗?但此时我什至没有测试网络应用程序。

[失败] UserTests.SetUp.UserShouldHaveMembershipUserProperties TestCase 'UserTests.SetUp.UserShouldHaveMembershipUserProperties' 失败:指定的成员资格提供程序名称无效。参数名称:providerName System.ArgumentException 消息:指定的成员资格提供程序名称无效。参数名称:providerName 来源:System.Web

0 投票
5 回答
924 浏览

django - 为单点登录管理大型用户数据库

您将如何实施具有以下目标的系统:

  • 管理目前与第三方供应商的应用程序紧密集成的数十万现有用户的身份验证和授权 (我们希望将这些用户分解为我们管理的东西,并让我们的应用程序与之抗衡,加上我们的第 3 方供应商与之抗衡)。
  • 管理链接到这些用户的个人资料信息
  • 必须能够从几乎任何平台(Windows、*nix、PHP、ASP/C#、Python/Django 等)上的任意数量的 Web 应用程序访问。

这里有一些示例实现:

  • LDAP/AD 服务器来管理一切。对所有配置文件数据使用自定义架构。一切都可以针对 LDAP/AD 进行身份验证,我们可以将各种 ACL 和配置文件数据存储在自定义模式中。
  • 仅使用 LDAP/AD 进行身份验证,使用某种传统数据库(MSSQL/PostgreSQL/MySQL)或基于文档的数据库(CouchDB、SimpleDB 等)将 LDAP 用户绑定到最强大的配置文件/授权服务器。使用 LDAP 进行授权,然后点击数据库获取更高级的内容。
  • 对所有内容都使用传统数据库(关系或文档)。

这三个是最好的吗?是否有其他符合上述目标且更易于实施的解决方案?

** 我应该补充一点,几乎所有将对用户数据库进行身份验证的应用程序都在我们的控制之下。唯一的少数外部人员将是我们正在从中删除当前用户数据库的应用程序,也许还有 1 或 2 个其他应用程序。没有什么比需要 openID 服务器更广泛的了。

同样重要的是要知道这些用户中的许多人已经拥有这些帐户 5-8 年并且知道他们的登录名和密码等等。

0 投票
6 回答
22603 浏览

c# - 检测 Web.Config 认证模式

假设我有以下 web.config:

使用 ASP.NET C#,如何检测 Authentication 标签的 Mode 值?

0 投票
2 回答
4273 浏览

asp.net - Web 应用程序的全局与通用 Active Directory 组访问

我有一个 SQL Server 2000、C# 和 ASP.net Web 应用程序。我们希望通过使用 Active Directory 组来控制对它的访问。如果我放入的组是“全球”,但如果该组是“通用”,我就可以进行身份​​验证。

我怎样才能使这项工作与“通用”组一起工作?这是我的授权块:

0 投票
5 回答
19618 浏览

python - 如何从(非网络)python 客户端访问经过身份验证的 Google App Engine 服务?

我有一个 Google App Engine 应用程序 - http://mylovelyapp.appspot.com/ 它有一个页面 - mylovelypage

目前,页面只是self.response.out.write('OK')

如果我在我的计算机上运行以下 Python:

它打印“确定”

问题是如果我login:required在应用程序的 yaml 中添加到此页面

然后这会打印出 Google 帐户登录页面的 HTML

我已经尝试过“正常”的身份验证方法。例如

但这没有什么区别——我仍然得到了登录页面的 HTML。

我已经尝试过Google 的 ClientLogin auth API,但我无法让它工作。

我似乎确实能够正确获取一些令牌,但是当我调用“mylovelypage”时尝试在标题中使用它仍然只是返回登录页面的 HTML。:-(

有人可以帮忙吗?

我可以使用GData 客户端库来做这种事情吗?从我读到的内容来看,我认为它应该能够访问 App Engine 应用程序,但我也没有更成功地让 App Engine 的身份验证工作在那里

任何指向样本、文章,甚至只是我应该搜索以帮助我开始的关键字的指针,都将不胜感激。

谢谢!

0 投票
1 回答
716 浏览

java - Apache 和 J2EE 共享安全领域/登录、单点登录

这是我想创造的情况:

  • www.blah.com/priv- 受 Apache HTTP Basic Auth 保护,领域“foo”
  • www.blah.com/application- 受 Tomcat/Servlet HTTP Basic Auth 保护,领域“foo”
  • 用户访问/priv,apache 请求登录信息,他们提供并被授予访问权限
  • 同一用户然后请求/application。由于他们已经在上一步中通过了“foo”领域的身份验证,我希望他们能够直接进入。
  • 如果其他用户/application在没有先访问的情况下访问/priv,则 Tomcat 需要身份验证(然后他们也可以稍后访问/priv而无需重新验证)

基本上,我希望 apache 和 tomcat 共享身份验证领域,理想情况下,共享用户数据库。

怎样才能最好地做到这一点?

0 投票
21 回答
6946 浏览

security - 什么是安全问题的好选择?

来自连线杂志:

...佩林黑客不需要任何真正的技能。取而代之的是,黑客只需使用她的出生日期、邮政编码和她在哪里认识她的配偶的信息——她的雅虎账户上的安全问题,通过简单的谷歌搜索就得到了回答(瓦西拉高),重新设置了佩林的密码。

我们不能相信此类安全问题可以重置忘记的密码。
你如何设计一个更好的系统?

0 投票
7 回答
1421 浏览

python - 为公共 django 站点制作 beta 代码

我即将在网络上发布我正在开发的网站的测试版。它需要有一个测试代码来限制访问。该网站是用 django 编写的。

我不想改变基本的 Auth 系统以适应 beta 代码,我也不特别关心 beta 代码的安全性是铁定的,只是它是一个重要的绊脚石。

我该怎么做?这是一个相当大的项目,因此向每个视图添加代码远非理想。


该解决方案效果很好。我最终得到的中间件类是这样的:

0 投票
1 回答
811 浏览

security - Kerberos 和 T125 协议

为什么 Kerberos 身份验证使用 T125 协议?我相信 Kerberos 身份验证的行为方式如下:

  • 客户向 Kerberos 授权请求一张票
  • Kerberos 授权向客户端提供票证
  • 客户端尝试向服务器进行身份验证并将此票证发送到服务器。
  • 服务器通过 Kerberos 授权验证票证是否正常,并对客户端进行身份验证。

现在,在这个过程中,在哪里使用了 T125,为什么?
客户端是否在尝试访问(例如:对于每个 HTTP GET 页面)时向服务器发送票证,并且服务器随时检查此票证,还是在“对话”开始时只检查一次?

谢谢!

0 投票
4 回答
23881 浏览

asp.net - 从 asp.net 页面查看器 Web 部件显示当前经过身份验证的 Sharepoint 用户

我正在创建一个独立的 asp.net 页面,该页面需要使用页面查看器 Web 部件嵌入到共享点站点中。asp.net 页面发布到不同端口上的同一台服务器,为我提供了要嵌入的 URL。

要求是,在使用 Sharepoint 身份验证对用户进行身份验证后,他们导航到包含 asp.net Web 部件的页面以获取更多选项。

我需要从这个 asp.net 页面做的是查询 Sharepoint 以获取当前经过身份验证的用户名,然后从 asp.net 代码的页面上显示它。

当我从 VS 调试应用程序时,这一切都很好,但是当通过 Sharepoint 发布和显示时,我总是得到 NULL 作为用户。

任何有关使其发挥作用的最佳方法的建议将不胜感激。