问题标签 [custom-authentication]

如何在 ASP.NET 应用程序中完全禁用 Forms 身份验证并将其替换为自定义身份验证模块？

我在 web.config 中将身份验证模式设置为 None

并附上我自己的身份验证模块

我的自定义身份验证模块有

一切看起来都在工作，除了一件事......当我尝试访问安全页面时需要管理员角色

我的处理程序没有捕获 AuthorizeRequest 事件。相反，我的请求将返回到浏览器

访问被拒绝。错误消息 401.2.：未经授权：由于服务器配置，登录失败。根据您提供的凭据和 Web 服务器上启用的身份验证方法，验证您是否有权查看此目录或页面。联系 Web 服务器的管理员以获得更多帮助

看起来其他处理程序处理了请求并返回未经授权的请求代码？我不是完全禁用了表单身份验证或错过了其他东西吗？

我有一个使用 Spring Security 进行身份验证的 Spring 项目。

Spring Security 代码片段：

我想使用自定义哈希算法而不是 md5 或其他东西。

我正在使用 grails spring security core 1.2.7.3 插件进行用户登录。现在我有一个要求，我需要在身份验证之前进行密码检查。

当用户在登录表单中输入用户名和密码并提交时，我需要访问用户名和输入的普通密码，并对密码进行自定义检查，如果密码与所需模式不匹配，则进行重定向，否则继续像平常一样。

我正在使用 asp.net mvc4。在我的登录页面中，我保留了“记住我”选项。但看起来它不起作用。

我像这样保存了我的 authcookie：

我正在使用表单身份验证。我已经检查了实现“AuthorizeAttribute”接口的 CustomAuthorizeAttribute 类中的身份验证。

但这就像我的流程没有处理“记住我”选项。当我登录时选择“记住我”选项，然后关闭并重新打开浏览器，它再次要求登录。

我正在尝试在 Django 1.5 中使用多个身份验证后端。

我想RemoteUserBackend与自定义header和标准一起使用ModelBackend

似乎我可以使一项或另一项工作，但不能两者兼而有之。如果我尝试使用登录，ModelBackend则会收到此错误：

设置.py：

custom_auth.py：

我不确定我错过了什么。如果我设置了“CUSTOM_USERID”，它可以工作，但我不能使用标准登录。

我错过了什么？

I have an installation of Elasticsearch version 1.1.0 which will be indexing items out of a SQLserver database. I have the jdbc-river plugin for retrieving information. I also have the jetty-1.1.0-beta plugin installed.

Currently, I have jetty configured with

This works great for when I try to retrieve information with a query such as

My problem is that if I try to do one of these two searches

I get back all the river information, including the database log-in credentials. Needless to say, I don't want this exposed. To this end, I am trying to write a custom jetty-restrict-*.xml file to require authentication for these reads, but I don't want authentication for reads in {{indexName}}.

Is it better to try to use an approach of listing what reads need authentication, or should I list which indexes aren't restricted? I'm afraid I am not very familiar with how the jetty xml files are written, so how would I do this?

当身份验证模式为“windows”时，我正在尝试在 MVC 中进行 customAuthorization

但总是 IsAuthenticated 返回 false。我不知道如何在 onAuthorization(..) 之前调用 Windows 身份验证。

但是当我这样做时：

由于 base.onAuthorization() 的原因，onAuthorization() 方法重复命中，并且在第二次尝试中 IsAuthenticated 返回 true。

我可以知道这种行为的原因吗？

当我用谷歌搜索结果时说 IsAuthenticated 在表单身份验证模式下将是真的，但在 Windows 模式下不会。如以下链接所述

http://www.anujvarma.com/windows-ad-authentication-and-the-authorize-attributelogin-popup/

请帮我。

我正在尝试使用 WLS 12.1.2（JAAS 容器安全性）中的 AD Authenticator 来处理用户已设置为“下次登录时必须更改密码”的场景，据我所知，这是在 AD 属性 pwdLastSet 中设置的。如果我为特定用户将其设置为 0，然后尝试登录我的应用程序，我会在 javax.servlet.http.HttpServletRequest.login(username, password) 方法上获得一个 ServletException，并带有一个捆绑的通用 FailedLoginException，但我没有'没有得到任何关于原因的信息。我真正需要的是来自 AD 的 773 错误代码或向我的应用程序代码表明这就是 request.login 方法引发异常的原因。不知何故，我们需要将其转换为 javax.naming.AuthenticationException，如果我们使用新的 InitialContext 手动执行 LDAP 绑定，我们会得到这样的结果。必须手动绑定以适应这样的替代场景似乎有点奇怪，而容器安全性处理一般的成功场景。有任何想法吗？

我没有使用会员资格或身份。我正在使用基于 Web 表单的身份验证。这是我正在开发的产品。我希望客户能够在第一次运行（部署）时创建一个管理员。我正在使用 RBAC。现在，用户创建类似于：

• 单击主页上的注册链接时，将运行帐户/注册控制器。
• 它呈现一个表单，用户可以填写详细信息，点击提交并创建用户。
• 然后它将用户发送到管理页面（这里的所有 3 点都将在管理员权限下）。列出所有用户的位置。你可以在那里改变角色。在此页面上有一个链接可以转移用户以添加更多角色。

我想要的是：

• 当应用程序首次运行时，它应该创建一个管理员角色。
• 将用户发送到注册页面（而且，在确保它是第一次运行或确保还没有管理员用户之后）
• 之后，同一页面将需要管理员身份验证（我已经在一个单独的项目中实现了这个，所以我可以使用它。）

我试图在 global.asax 中添加一些代码application_start()并在 configuration.cs 中调用帐户/注册。但如果我没记错的话，那会在迁移时运行，对吧？

即使这两个中的一个是最佳解决方案，我也想知道哪一个被认为是此类问题的“最佳实践”。

那么，我该怎么做呢？欢迎任何建议。提前致谢。

我想使用自定义身份验证提供程序将 spring 安全性（使用 Java 配置）添加到我的应用程序中，但是我无法使其工作。似乎 authenticationProvider 配置不正确，因为我无法调试到方法 authenticate(Authentication) 中，并且 println 不打印任何内容。每个请求都以 403 响应。

请任何人都可以帮助我解决这个问题，整个周末我都对此感到震惊。