问题标签 [nonce]

我在 php 使用自己的代码登录，现在我不太擅长 jquery ajax 等等，我使用 ajax jquery 类型 json 登录，我将所有 val 发布到服务器端 php 以检查所有详细信息，并通过响应回答相同的 jquery ajax 。

问题是我在登录表单中添加了在 php 中制作的 nonce 令牌，并且每次用户尝试登录 nonce 更改后，问题只是当我刷新登录页面时 nonce 更改为好的 nonce 否则它将保持不变nonce 令牌并将与帖子一起发送，而不是更新的，因为 ajax 在登录后没有刷新页面。

所以问题是我如何在每次响应后触发 ajax 来刷新 nonce 令牌？nonce 令牌是用 php 编写的。

还有更多关于哈希随机数令牌的事情，它有时会生成哈希字符串：

asdaskjn34kj+sdf/sd=

现在ajax jquery自动从哈希字符串中删除'+'，因此它在POST中发送错误的令牌，这里是我的哈希函数：

任何人都知道如何更改此函数以使哈希中没有“+”的字符串？

尝试向服务器发送肥皂请求 (soapCall) 时出现错误。

我需要发送 ws-security 标头

经过大量研究，我认为我得到的问题是随机数不符合要求。当我制作肥皂头时，它看起来就像我得到的例子。唯一未知的元素是计算这个随机数......

从我得到的示例随机数中，它是一组 24 个数字 + 字母 + 特殊字符

像这样的东西

但是，我不太确定你如何从 php 计算 wsse nonce ......有什么标准吗？

我的代码

结果

这与示例完全不同......我相信这就是这段代码不起作用的原因。

所以我正在做更多的研究，现在我正在使用这个

结果

现在，它看起来与示例相似，但我仍然从一开始就显示该错误。

有人可以帮帮我吗？

使用soapUI 进行一些进一步的测试。

相同的userID和passwd，设置passwordtype为passwordtext

它正在工作。

有谁知道soapUI如何计算nonce？或者知道soapUI如何通过ws-security？

我有一个 WCF 服务，它使用具有可靠会话 + 消息安全性 + 自定义用户名验证器的 wsHttpBinding。

在内部，使用演示应用程序的每个人都可以检索自定义故障异常。

外部测试应用程序的第三方供应商收到

该服务使用 Message Security 托管在 HTTP 端口 80 上。服务器证书是内部生成的，即

检索数据在内部/外部都可以正常工作。只是没有收到自定义故障。他们只捕获带有以下消息的通信异常：

下面添加了更多信息

使用 serviceSecurityAudit 打开 WCF 审核并始终收到此消息

使用下面的自定义绑定暂时修复此问题

下面的自定义绑定

I have created a login and registration system using php. I intend to use nonces to prevent the replay attack. So far what I have is, generating a random number using (uniqid(mt_rand(),true)); and then store this on the database, and pass the same data in a hidden field to the client end, and then send it back to the server side, when the login button is clicked. if it matches the on in the database, the user is redirected to the private page, and then a new nonce is generated and updated in the database.

This is how i intend to implement it. But I'm some how not totally sure of the implementation.

我正在向外部 API 发出 http 请求，该 API 要求每个请求都具有不断增加的 nonce 值。

我遇到的问题是，即使请求按顺序提交，它们也没有按顺序从调用堆栈中弹出（大概）。 我正在使用请求库。我的辅助方法的一部分如下所示：

控制台日志导致随机数顺序不会增加，而是混乱，即使每个请求都必须按顺序创建（我通过将控制台日志放在请求调用之前对此进行了测试）。我如何执行某个命令？为什么它还没有这样做？任何理解将不胜感激。

我正在使用一些第三方库（用 C# 编写，它的文档有点差......）事情是，对于其中一个“登录”身份验证功能，我需要为它提供一个散列密码。

我对所有这些散列的事情仍然有点缺乏经验，所以也许这里有人可以帮助我？

库文档说：“从用户提供的密码和 Nonce 值生成密码哈希”这个“nonce”值看起来像这样：“Xi8SCdy7FarblZe61qP9ijginknhPe15”（32 位哈希？）

但我不知道应该使用什么样的哈希算法

有没有人有任何建议或示例如何在 C# 或 C++/CLI 中完成？谢谢。

我的客户端有一个 Java 网络服务，我正在尝试使用 wcf 来使用它。

它使用带有 nonce、createddate 的用户名令牌。这是我正在使用的链接 http://weblog.west-wind.com/posts/2012/Nov/24/WCF-WSSecurity-and-WSE-Nonce-Authentication，以下代码生成随机数。这只是附加到字符串。

错误：随机生成的 Nonce 值已过期。代码是生成随机数还是校验和？Soap UI 没有给我这个错误。它是成功的。这很明显，因为互操作性始终是一个问题

SOAP 错误，随机数（随机生成的值）已过期。运行时发生的动作：

谢谢

根据我的研究，防止这种情况的正确方法是为每个返回表单的 GET 请求设置一个 NONCE，然后检查 POST 请求上的 NONCE。但是，仍然有人可以编写脚本来获取我的表单以及 NONCE，然后将其与 NONCE 一起发布。

由于这是一个广为人知的漏洞，浏览器不应该通过不允许跨域 ajax 调用来解决这个问题吗？如果没有，ASP.NET MVC 4 是否已经有内置机制来防止这种情况？

我在CakePHP 2.4并且我想阻止未经授权的请求（不是来自我的站点）对特定端点的访问。我相信 nonce 是完成这项工作的正确工具。CakePHP 是否对此提供支持？我在文档中没有找到它，但也许我忽略了一些东西。

我试图生成一个 Nonce 字符串以在我的肥皂请求中使用。我找到了一些 jboss 函数并将二进制文件导入 /lib 文件夹。

我的代码如下所示：

但是我在 jmeter.log 中得到了这些错误：

任何人都知道我做错了什么？我不知所措:(