问题标签 [http-token-authentication]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - 显示带有令牌认证的视图
我试图弄清楚如何使用令牌身份验证显示视图。我希望能够在没有布局的情况下制作我的应用程序的屏幕截图,并且在 http 请求中使用令牌访问。我不想登录用户,只想访问我的视图。我将 devise devise 3.5.10 和 devise-token_authenticable 0.4.10 与 Rails 3 一起使用。我可以通过令牌身份验证访问所有 JSON 请求,但如果我的用户尚未登录,则无法显示视图。
jwt - JWT 和 CSRF 的区别
我一直在阅读有关 JWT 的信息,据我了解,它是用户登录后服务器发送的令牌。用户必须在所有未来的 HTTP 请求中发送该令牌。这为服务器创建了一种无状态的方式来验证用户的请求。
现在我不明白的是,如果 JWT 在标头中发送并仅标记为 HTTP,为什么还需要 CSRF 令牌来防止 CSRF 攻击?我的理解是 JWT 和 CSRF 令牌都与用户相关联,并且 JWT 将同时用于这两个目的。
我了解使用了 CSRF 令牌,因此不会接受来自其他站点的 HTTP 请求。JWT 怎么不能做到这一点?是什么将 CSRF 令牌与 JWT 令牌分开,并允许它实现这种差异?
我一直在阅读有关 JWT 和 CSRF 令牌以及双重提交方法的文章,但我似乎无法理解或遗漏了一些东西。
security - 设计基于令牌的授权服务器请求/响应
我们服务中的身份基于存储在数据库中的令牌。这是由客户端通过使用用户名和密码登录来获取的。
每次请求资源时,我们计划验证令牌并确定用户是否有权访问该资源。
我们的服务是单独部署的,授权服务器可以通过HTTP访问。
授权请求的最佳实践/常用方法是什么?
发送具有请求权限和角色的令牌
我正在考虑将令牌与角色一起传递,并在令牌验证请求中向授权服务器请求用户的权限。
并回复:200 表示成功,401 表示无效令牌,403 如果他们无权使用权限。
仅在授权请求中发送令牌
考虑到的另一种方法是仅将令牌验证请求中令牌中的令牌发送到授权服务器。
并以用户拥有的所有权限和角色进行响应:
其中哪个更可取?或者我可以考虑任何其他/模式方法吗?
java - 带有令牌认证的 Java HTTP 请求
我正在尝试向我正在运行的本地服务器发出 GET 请求。我无法返回正确的数据,我看到“未经授权”的响应。鉴于字符串“令牌”是正确的,任何人都可以发现任何明显的问题。
}*
我能够从命令行获得一个 curl 请求:
security - csrf_token 显示为 URL 参数
网站可以将 csrf_token 显示为 URL 参数吗?我有一种感觉,我不应该看到它,但我不太确定。如果有人可以澄清一下,我将不胜感激!
android - 在下一个活动中改造身份验证
我的第一个活动是为此目的使用最简单的形式和硬编码凭据的登录活动。POST 请求被发送到 API 并作为结果返回令牌。一切正常。现在我实现它的方式是我在登录方法内的 onClick 事件中的 onSuccess 方法内放置了一个意图。这是代码:
这段代码有一个简单的祝酒词,向我展示令牌并说一切正常。这样做,我在此页面上没有任何错误。但在下一页上,我试图从 API 检索一些数据并显示它,但我收到错误 401,或未经授权的访问。这意味着我的凭据没有留下。
除了直接跳到下一个活动以保持凭据有效之外,我还需要做些什么吗?
c# - 如何从方法属性C#中获取属性
我在 C# 中有一个身份验证属性
我使用它在 web api 控制器中进行身份验证:
如何从方法中的属性中获取 User 属性?我需要这个属性,因为它有一些其他信息,我需要在我的方法中处理一些其他信息。
我知道在令牌中我可以获取用户 ID 并将对象查询到数据库但我不想这样做,因为我会重复代码(在属性中查询用户)并且我需要使用用户的信息在我的应用程序的每个方法中。
我希望我已经解释了自己,并为我糟糕的英语感到抱歉
提前致谢 :)
azure - 无法使用 java 在 azure 数据湖上进行身份验证
我正在尝试使用 java 程序连接到 azure 数据湖,在该程序中我可以从 azure 数据湖获取数据,但我的程序无法进行身份验证并因错误请求错误而终止。
我有 Microsoft 免费试用帐户并已完成以下步骤。
- 在默认 azure 活动目录上注册的 Web 应用程序。(登录 URL 是虚拟的)
- 复制 auth-endpoint-token 和 application-id 并生成客户端密码
- 已经有权限(因为我是唯一具有默认登录的用户)
- 添加了 Azure 数据湖并获得了所需的权限。
现在我有了这个java代码。
现在我的问题是,
- 缺少什么会导致错误请求错误?
- 顺便说一句,我也没有在“我的应用程序”选项下看到已注册的应用程序,尽管当我选择“所有应用程序”选项时它是可见的?
谢谢
authentication - 在哪里可以找到基于令牌的身份验证的令牌
我试图在登录页面上找到令牌。我已经在页面源上搜索过,但它不在这里。我想知道传递访问令牌的做法以及找到它的方法
python - Django REST Framework:一对一自定义用户的基于电子邮件+密码令牌的身份验证
我需要自定义用户模型的基于令牌的身份验证方面的帮助。
我有一个继承自的用户模型AbstractBaseUser:
我有一个DojoMaster扩展User模型并使用post_save接收器的模型:
models.py
我添加了以下身份验证类:
settings.py
要访问令牌身份验证,我有:
urls.py
我有以下DojoMaster用户:
当我尝试获取身份验证令牌时,{"email": "xyz@mail.com", "password": "p@55w0rd"}出现状态 400 错误{"username": ["This field is required."]}
使用时{"username": "xyz@mail.com", "password": "p@55w0rd"}出现状态 400 错误{"non_field_errors": ["Unable to log in with provided credentials."]}
如何使用email+password为此类自定义用户执行基于令牌的身份验证?
您的帮助将不胜感激。