问题标签 [token]

消息包含无效的过期安全上下文令牌或因为绑定之间不匹配

问题是，客户端和服务器时间相差几秒钟。Web 服务一切正常，除非在客户端/服务器关闭的几秒钟之间进行调用。所以，如果调用，客户端时间是6:00:58，服务器时间是6:01:01，就会出现上面的错误。

我添加了代码来捕获异常，并再次尝试调用，但不断收到此消息。

我已经在客户端/服务器上同步了时间，但它们最终会在几秒钟后不同步。

有没有人有任何想法？

这是重要的网络配置的一部分（客户端/服务器之间的一切都相同）：

我得到的错误：找不到符号构造函数方法令牌。但我在 Token 类中有一个构造函数

找不到符号变量 tokenCode。我清楚地全部使用它，我认为我正确初始化了它，所以有什么问题？

找不到符号变量 scantest。我在所有课程所在的同一个文件夹中都有它为什么不读取它？

导入 java.io.BufferedReader；导入 java.io.FileReader；导入java.io.*；

我最近帮助我们的一些用户设置了几个工作流程来发送电子邮件。现在这些已经使用了几个星期，我们注意到每次工作流运行时，有时会向不同收件人的电子邮件提供相同的电子邮件跟踪令牌。这导致许多电子邮件在收件人回复时跟踪到错误的潜在客户。

对于向 10 到 15 人发送同一封电子邮件的工作流程，大多数发送的电子邮件将收到一个唯一的跟踪代码，但是来自同一工作流程执行的 2 到 5 封电子邮件通常附加相同的跟踪令牌。

使用标准发送电子邮件功能发送的电子邮件始终具有唯一的跟踪令牌。

电子邮件发送过程中没有使用自定义代码或第三方插件。我们正在运行 CRM 版本 4.0，但尚未执行汇总 7（我们目前正在这样做）。|我们还禁用了智能匹配，并依赖于跟踪代码。

最后，工作流从电子邮件模板发送电子邮件。

谢谢

更新：

工作流程截图网址： http: //img515.imageshack.us/img515/4710/stackoverflowworkflowsc.png（我加入会员的时间不够长，无法发布图片）

以下是我的规则，当我用 '=' 替换 $2 时，我的代码有效。我知道默认情况下所有文字标记都使用它们的 ascii 值（因此为什么多字符标记需要定义）

以下不起作用。该函数使用 0 而不是我期望的'='调用。我可以设置一个选项吗？（通过手册页并没有这样显示）

在另一段代码中，我有MathOp: '=' | '+' | '%' ...因此我感兴趣的原因。

我有我们公司内部使用的联系人管理/CRM 应用程序，它是一个基于 Web 的应用程序，因此使用了很多 Ajax。大部分数据是JSON，后端服务器使用PHP和MySQL作为数据库...

我想构建一个迷你 Adob​​e Air 版本，主要是因为我可以使用拖放文件上传、客户端图像大小调整、上传文件的客户端屏幕截图创建等。

现在，因为服务器端是一个美化的 JSON 数据提供者，我想我可以调整它以向 AIR 应用程序提供数据。

我的问题是，我如何处理身份验证？
在 PHP 中，我使用会话进行身份验证...
对于 AIR，我认为它更像一个 JSON Web 服务，您可以在其中调用某个 URL 来访问某些 JSON 数据。

经过一番头脑风暴后，我想到了以下几点：

1. AIR 应用程序启动时用户登录
2. 服务器在成功登录时返回一个唯一令牌，并将该令牌存储在数据库中
3. AIR 应用程序必须将该令牌附加到它向服务器发出的每个请求中
4. 在每个请求中，服务器通过将令牌与存储在数据库中的令牌进行比较来检查令牌的有效性。

问题是，
有没有比这更好的方法？
令牌的有效期应该是多久？
我如何处理关闭应用程序而不注销的客户端，并且不给我机会使服务器上的令牌无效？

如果有人遇到过类似情况，希望您的回答能有所启发...

谢谢

我正在尝试做一些在概念上与此类似的事情，但似乎无法让它工作（最后显示错误）任何想法？

我正在使用 PHP 开发 RIA。为了防止会话劫持，我引入了一个令牌，在登录时生成，基于盐、ISO-8601 周数和用户的 IP。

目前，它通过 GET 或 POST 与每个请求一起传递，但我想知道是否可以通过将其作为 cookie 提供来避免这种情况，因为它取决于用户的 IP。我刚刚在学习课程，所以我想知道这样做是否有任何安全问题？这是个坏主意吗？

我正在寻找一种非常简单快捷的方法来生成一些 SAML 断言。这只会用于测试（使用 SOAP UI）。所以我只需要一些可以生成有效断言（签名或未签名）的东西，然后我可以将其放入 SOAPUI 并发送到我的 Web 服务。我知道如何将断言添加到 SOAP 消息和所有其他好东西，我只需要一些有效的测试断言。

有任何想法吗？

谢谢。

先说一下我了解CSRF攻击的概念。现在我想知道，将令牌放在搜索表单上是否有好处？我自己真的什么都想不出来。

我正在创建一个包含 ASP.NET 页面和 Flash 小程序的网站。我想将我的业务逻辑封装在 WCF 服务中，该服务将通过两个端点公开：一个可通过 Internet 通过 HTTP(S) 访问，供 Flash 客户端使用，另一个可在数据中心内访问，供应用程序服务器使用. 如果这似乎不是一个好方法，那么请在这里阻止我；否则，我会继续……

问题是如何验证来自 Flash 客户端的请求。由于我不想将用户密码存储在浏览器 cookie 中，不想在每个请求中都发送密码，并且不想在初始登录后使用 HTTPS，我打算使用令牌 -基于身份验证系统。我也不希望用户在登录站点本身后必须登录到 Flash 客户端，因此我计划在 Flash 客户端启动时使用 Javascript 将令牌传递给它。

我知道 WCF 支持使用 .NET Framework 的内置安全框架 (System.Security) 来实施访问控制，我想利用这一点。

那么问题来了： 当 Flash 调用 WCF 服务时，如何将令牌传递给它，以及如何在服务器上处理令牌？

• WCF 有一个“已颁发令牌”身份验证模式，但它似乎旨在用于具有安全令牌服务和 SAML 令牌的成熟联合场景中——我真正想要的更复杂一点。可以将此模式与我自己的“简单随机字符串”令牌一起使用吗？如果是这样，怎么做？请记住，这需要与 Flash 兼容。
• 我可能会在标头（SOAP 标头或 HTTP 标头）中传递令牌。在这种情况下，一旦我确定了哪个用户发出请求，我如何通知框架以便 System.Security 检查能够工作？
• 我应该考虑完全不同的方法吗？任何避免在每个请求中发送密码、让我使用 System.Security 并与 Flash 一起工作的东西都是可能的。