问题标签 [restful-authentication]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
12088 浏览

ruby-on-rails - Rails, Restful Authentication & RSpec - 如何测试需要身份验证的新模型

我使用Bort创建了一个学习应用程序,它是一个包含 Restful Authentication 和 RSpec 的基础应用程序。我已经启动并运行它并添加了一个新对象,该对象需要用户登录才能执行任何操作(before_filter :login_required在控制器中)。[编辑:我还应该提到has_many新类的用户并且只有用户应该能够看到它。]

我使用 Rspec 的生成器创建了新的模型/控制器,这些生成器创建了许多默认测试。如果没有before_filter但有几个失败,它们都会通过,正如预期的那样,一旦before_filter到位。

如何让生成的测试像有/没有登录用户一样运行?我是否需要一整批未登录的匹配 - 重定向测试?我认为这是某种模拟或固定技术,但我是 RSpec 的新手,有点飘忽不定。好的 RSpec 教程链接也将不胜感激。

0 投票
3 回答
1252 浏览

ruby-on-rails - 使用 Restful 身份验证的无意会话劫持问题

我正在使用在 github 上找到的当前版本的 restful_authentication 并且我遇到了一堆奇怪的会话问题。服务器似乎以某种方式将会话分配给不应该的用户。这只发生在越过注销/登录障碍时。

这是一个例子。在服务器上没有活动会话的情况下,我使用用户 A 登录了一个帐户。在另一台机器上,我使用用户 B 登录。然后当注销用户 B 时,在注销重定向发生后的某个时间,我将登录为用户 A. 从这一点开始,我可以继续浏览该站点,就好像我以该用户身份登录一样!我通过日志观察到的是,当这种劫持发生时,会话 ID 是不一样的。用户 A 在两个会话中都登录了,但会话 ID 完全不同。这只是可能发生的事情的一个例子。我无法可靠地重现该问题,因为它看似随机。

它似乎不是环境或运行它的服务器的症状。我可以使用杂种和乘客重现问题。我也在开发和生产中看到了它。我在这个应用程序中使用基于 db 的会话,它在 Rails 2.1.1 上运行。我在调用生成器时应用了有状态选项。否则,没有对如何处理会话进行其他修改。

更新这里是直接来自 restful_authentication 的违规方法。

0 投票
1 回答
381 浏览

ruby-on-rails - 激活用户时带有acts_as_state_machine的restful_authentication中的DoubleRenderError

在使用restful_authenticationwithacts_as_state_machine和电子邮件激活的项目中,每当用户从电子邮件链接执行激活操作时,我都会收到双重渲染错误。

我正在使用默认值

激活,默认

重定向。重定向方法在以相同方式调用的所有其他情况下都有效。

双重渲染错误发生在路由为“/”的页面 main_page/home 的渲染中。

我应该寻找什么?

0 投票
14 回答
416261 浏览

rest - RESTful 身份验证

RESTful 身份验证是什么意思,它是如何工作的?我在 Google 上找不到很好的概述。我唯一的理解是您在 URL 中传递了会话密钥(remeberal),但这可能是非常错误的。

0 投票
4 回答
1838 浏览

iphone - 扩展 restful_authentication/AuthLogic 以支持匿名 iPhone 的延迟登录的最佳方法是什么?

我正在构建一个与 Ruby on Rails 后端对话的 iPhone 应用程序。Ruby on Rails 应用程序还将为 Web 用户提供服务。restful_authentication 插件是提供快速和可定制的用户身份验证的绝佳方式。但是,我希望 iPhone 应用程序的用户在新列中存储一个由手机的唯一标识符 ([[UIDevice device] uniqueIdentifier]) 自动创建的帐户。稍后,当用户准备好创建用户名/密码时,帐户将更新为包含用户名和密码,iPhone 唯一标识符保持不变。用户在设置用户名/密码之前不能访问该网站。然而,他们可以使用 iPhone 应用程序,因为该应用程序可以使用它的标识符来验证自己。

修改 restful_authentication 以执行此操作的最佳方法是什么?创建插件?或者修改生成的代码?

替代框架怎么样,例如 AuthLogic。允许 iPhone 将生成的身份验证令牌锁定到其 UUID,然后让用户稍后创建用户名/密码的最佳方法是什么?

0 投票
4 回答
23090 浏览

.net - 使用 RESTful WCF 和 Windows 窗体的用户/通过身份验证

为与 IIS 托管的 RESTful WCF 服务对话的 Windows 窗体应用程序实施授权/身份验证的最佳方法是什么?

我问的原因是我很困惑,在筛选了不同的文章和帖子后,表达了不同的方法,最终找到了关于 WCF 安全最佳实践的约 650 页文档”(http://www.codeplex.com/WCFSecurityGuide)我是鉴于我的情况,只是不确定哪种方法是最好的,以及如何开始实施。

我从这篇文章“使用 WCF 3.5 设计和构建 RESTful Web 服务的指南”(http://msdn.microsoft.com/en-us/library/dd203052.aspx)和一个关于 RESTful WCF 服务的 PDC 视频开始,其中很棒,帮助我实现了我的第一个 REST 友好型 WCF 服务,

服务工作后,我返回实施安全性,请参阅。“安全注意事项”(页面下方的四分之一)并尝试按照说明实现 HTTP 授权标头,但是我发现代码不完整(请参阅从未声明过“UserKeys”变量的方式)。这就是我尝试更多地研究如何做到这一点(使用带有“授权”HTTP 标头的 HMAC 哈希,但在 google 上找不到太多内容?)它引导我阅读其他有关消息级安全性的文章,形成身份验证和自定义验证器,坦率地说,我不确定现在采取哪种方法是最好和最合适的。

综上所述(感谢您一直以来的聆听!),我想我的主要问题是,

- 我应该使用哪种安全实现?

- 有什么方法可以避免在每次 WCF 调用时发送用户名/密码?如果一开始就建立了连接,我不希望发送这些额外的字节,这将是在登录后允许进行后续调用之前。

- 如果我使用 SSL,我是否真的应该关心纯文本以外的任何内容?

如前所述,.NET 3.5 win forms 应用程序,IIS 托管的 WCF 服务,但重要的是我希望任何和所有 WCF 服务都需要此授权过程(但应该是会话、http 标头或其他),因为我不需要希望任何人都能够通过网络访问这些服务。

我知道上面的帖子很大,但我必须表达我已经失败的路线以及我需要完成的工作,非常感谢任何和所有帮助。

PS:我也知道这篇文章How to configure secure RESTful services with WCF using username/password + SSL如果社区建议我从 REST 转向 WCF 服务,我可以这样做,但是我开始这样做是为了保持一致性任何公共 API 的到来。

我认为重要的是我要说明我如何访问我的 WCF 服务(联系服务正在工作,但是验证凭据的最佳方法是什么 - 然后返回成员对象?):

从 MS 文章中实现了一半的代码(以及我自己的一些用于测试的代码):

0 投票
2 回答
5209 浏览

wcf - 如何从基于 REST 的 WCF 服务中读取授权标头?

如何从基于 REST 的 WCF 服务中读取授权标头信息?

0 投票
3 回答
1430 浏览

apache-flex - 使用 HTTPService 或 URLRequest 时如何避免 Flex 中的身份验证对话框?

这与这个问题有关。我正在编写一个使用 REST 的 Flex 应用程序(一个 WindowedApplication)。当我使用有效的身份验证发布时一切都很好,但如果我碰巧将无效的用户名或密码传递给 REST API(具体来说是 Twitter REST API),则会弹出一个身份验证对话框。

这不是理想的用户体验,当我使用 HTTPService 和 URLRequest 时都会发生这种情况。我似乎没有可以捕捉到取消对话框的事件。

这是我的代码的样子:

我错过了什么吗?有没有更好的方法来解决这个问题?

0 投票
2 回答
1412 浏览

ruby-on-rails - Rails 有内置的身份验证系统吗?

这些年来,我已经为 webapps 实施了几次身份验证系统,但在我再次这样做之前,我想我会问是否有我应该知道的罐装解决方案。

上次我检查时,没有内置的 Rails 身份验证系统,标准解决方案是restful-authentication插件。还是这样吗?或者它现在已经被合并到 Rails 中了?我见过这种情况。

0 投票
3 回答
1274 浏览

apache - 您如何在 Apache 中维护会话状态?

我需要维护对 Apache 服务器的 REST 调用之间的会话信息。从来没有在 Apache 平台上开发过,我希望找到一个可以帮助促进会话信息和应用程序安全性的包/模块。请针对新手的答案。