Tag: 授权

Google云端点限制…任何build议的解决scheme?

我是否认为云端点的优点具有以下限制: REST API不能部署到自定义域(它将保留在appspot.com上)。 唯一支持的身份validation是针对Google帐户的OAuth。 推论:目前不可能创build一个用户login/会话跟踪机制,这个机制是Google帐户不可知的(例如,用email作为用户名和密码)。 有没有计划去消除这些限制,如果是的话,ETA是什么?

扩展AuthorizeAttribute覆盖AuthorizeCore或OnAuthorization

使用ASP.NET MVC我创build一个自定义的授权属性来照顾一些自定义的授权逻辑。 我看了很多例子,这是非常简单的,但我的问题是哪个方法是最好的重写,AuthorizeCore或OnAuthorization? 我看到很多例子都凌驾于其中。 有区别吗?

REST API授权和authentication(网页+手机)

我已阅读oAuth,亚马逊REST API,HTTP基本/摘要等,但不能把它全部“一块”。 这可能是最接近的情况 – 为移动应用程序创buildAPI – 身份validation和授权 我想build立以API为中心的网站 – 服务。 所以(一开始)我会有一个API在中心和网站 (PHP + MySQL)通过networking接口通过cURL , Android和iPhone连接。 所以3个主要客户 – 3个API密钥。 而任何其他开发者也可以通过API接口开发,他们将获得自己的API密钥。 API行为将被接受/拒绝基于userLevel状态,如果我是一个pipe理员我可以删除任何东西等,所有其他可以操纵只有他们的本地(帐户)数据。 首先,授权 – 我应该使用oAuth + xAuth还是我自己的某种types的实现(请参阅http://docs.amazonwebservices.com/AmazonCloudFront/latest/DeveloperGuide/RESTAuthentication.html?r=9197 )? 据我所知,在亚马逊服务用户是== API用户(有API密钥) 。 在我的服务上,我需要将标准用户/帐户(在网站上注册的用户)和开发者帐户(应该有他们的API密钥)分开。 所以我首先需要授权API密钥 ,然后validation用户本身。 如果我使用亚马逊的scheme来检查开发人员的API密钥(授权他们的应用程序),我应该使用什么样的用户身份validation? 我读了关于通过api.example.org/auth (通过HTTPS ,HTTP Basic)发布我的用户名和密码,然后每转发一次请求。 如果我在Android和网站上同时login,如何pipe理令牌? 如果我只在第一次请求时(在传输用户名和密码的时候)只使用SSL,而在另一端只使用HTTP,那么中间人攻击又如何呢? 在这个例子中是不是一个问题保护REST服务的密码?

ASP.NET Core中基于令牌的身份validation(刷新)

我正在使用ASP.NET Core应用程序。 我试图实现基于令牌的身份validation,但无法弄清楚如何使用新的安全系统 。 我的场景:客户端请求令牌。 我的服务器应授权用户,并返回客户端在以下请求中使用的access_token。 这里有两个关于实现我所需要的伟大的文章: 基于令牌的身份validation使用ASP.NET Web API 2,Owin和Identity 使用JSON Web令牌 问题是 – 我不明白如何在ASP.NET Core中做同样的事情。 我的问题是:如何configurationASP.NET Core Web Api应用程序使用基于令牌的身份validation? 我应该追求什么方向? 你写了关于最新版本的任何文章,或知道我能find哪些? 谢谢!

如何在ASP.NET MVC 5中实现自定义身份validation

我正在开发一个ASP.NET MVC 5应用程序。 我有一个现有的数据库,从中创build了我的ADO.NET实体数据模型。 我在那个包含“用户名”和“密码”列的数据库中有一个表,我想用它们在我的Web应用程序中实现validation和授权; 我无法创build任何其他数据库或表或列,因为客户的要求,我不能使用标准的身份validation。 我不需要pipe理注册,密码更改或其他东西:只需使用密码和用户名login。 我怎样才能做到这一点?

为什么在下面的例子中包含<deny users =“?”/>?

这个? 通配符表示未authentication的用户, *表示所有用户,已authentication且未authentication。 我的书显示了以下URL授权示例: <authorization> <deny users="?" /> <allow users="dan,matthew" /> <deny users="*" /> </authorization> 但是上面的代码不会有如下效果: <authorization> <allow users="dan,matthew" /> <deny users="*" /> </authorization> 还是作者还包括<deny users="?" /> <deny users="?" />规则是有原因的?

如何正确使用cURL定义基本的HTTPauthentication?

我正在学习Apigility( Apigility docu – > REST Service Tutorial ),并尝试通过cURL发送带有基本身份validation的POST请求: $ curl -X POST -i -H "Content-Type: application/hal+json" -H "Authorization: Basic YXBpdXNlcjphcGlwd2Q=" http://apigilityhw.sandbox.loc/status YXBpdXNlcjphcGlwd2Q=是我的证书apiuser:apipwd的基础64编码的string。 凭证保存在/data/htpasswd ( apiuser:$apr1$3J4cyqEw$WKga3rQMkxvnevMuBaekg/ )中。 看起来像这样: HTTP/1.1 401 Unauthorized Server: nginx/1.4.7 Date: Mon, 22 Sep 2014 07:48:47 GMT Content-Type: application/problem+json Transfer-Encoding: chunked Connection: keep-alive X-Powered-By: PHP/5.5.12-1~dotdeb.1 WWW-Authenticate: Basic realm="api" 这里的错误在哪里? 如何得到它的工作?

传统Web应用程序和API中的身份validation,授权和会话pipe理

如果我错了,请纠正我:在传统的Web应用程序中,浏览器会自动将会话信息附加到对服务器的请求中,以便服务器知道请求来自谁。 实际上究竟追加了什么? 但是,在基于API的应用程序中,这些信息不会自动发送,所以在开发API时,我必须检查自己,例如请求是否来自经过身份validation的用户? 这通常如何完成?

ASP.NET MVC中的用户身份validation和授权

ASP.NET MVC中用户授权/authentication的最佳方法是什么? 我看到有两种方法: 使用内置的ASP.NET授权系统。 使用我自己的User,Permission,UserGroup表等自定义系统 我更喜欢第二种select,因为用户是我的领域模型的一部分(而且我对ASP.NET的内置东西没有经验),但我真的很想听听人们在这方面做了些什么。

授权具有多个angular色的属性

我想将授权添加到控制器,一次为多个angular色。 通常情况下,看起来像这样: [Authorize(Roles = "RoleA,RoleB,RoleC")] public async Task<ActionResult> Index() { } 但是我已经把我的angular色存储在const中,因为它们可能会在某些时候改变或延长。 public const RoleA = "RoleA"; public const RoleB = "RoleB"; public const RoleC = "RoleC"; 我不能这样做,因为在编译时必须知道string: [Authorize(Roles = string.join(",",RoleA,RoleB,RoleC)] public async Task<ActionResult> Index() { } 有没有办法来解决这个问题? 我可以写一个只包含“RoleA,RoleB,RoleC”的const – 但我不喜欢魔术string,这是一个魔术string。 更改angular色的名称并忘记更改组合string将是一场灾难。 我正在使用MVC5。 ASP.NET身份和angular色在编译时已知。