«authentication» 태그된 질문

더 강력한 인증 서비스를 구현하고 싶은데 내가하고 싶은 일 jwt의 큰 부분이며 코드 작성 방법을 이해하고 있지만 예약 iss과 aud청구 의 차이점을 이해하는 데 약간의 어려움이 있습니다. 나는 토큰을 발행하는 서버를 정의하고 사용하려는 응용 프로그램을 참조한다는 것을 이해합니다. 그러나 내가 이해하는 방식은 내 청중과 발행자가 동일한 것이므로 myserver.com토큰을 발행하여 오는 …

13 security  authentication  authorization  jwt 

응용 프로그램, 특히 ac # .NET 응용 프로그램에서 개인 API 키를 보호하는 방법에 대한 아이디어가 필요합니다. 첫째, 소스 코드에 아무것도 숨기는 것이 이론적으로 불가능하다는 것을 이해하므로 다른 아이디어를 생각해 냈지만 그것이 얼마나 타당한 지 잘 모르겠습니다. 어쨌든 웹 서버와 통신하여 개인 키를 확인한 다음 응용 프로그램과 대화하여 합법적 인 핸드 …

12 c#  api  authentication 

사용자가 초래할 수있는 피해가 내 코드와 관련이없는 경우 사용자의 의도적 인 잘못에 대해 보호 기능을 추가하면 과도하게 엔지니어링됩니까? 명확히하기 위해 다음과 같은 간단한 JSON RESTful 서비스를 공개하고 있습니다. GET /items - to retrieve list of user's items PUT /items/id - to modify an item POST /items - to add a …

12 rest  authentication 

오늘 관리자로부터 질문을 받았습니다. 특히 일반적인 사용자 이름 비밀번호 로그인 필드의 "비밀번호 기억"에 대한 많은 인기있는 브라우저의 특성과 관련하여 웹 양식 애플리케이션 인증을 위해 허용 가능한 디자인으로 간주되는 사항에 대한 내 생각을 묻습니다. . 허용되는 것으로 생각되는 답변을 찾는 데 문제가 있습니다. 소니의 당황스러운 보안 결함에 비추어 볼 때 사람들에게 …

12 web-applications  security  browser  authentication 

웹 응용 프로그램의 인증 / 권한 부여에 대해 읽고 있습니다. 아무도 내 현재 지식을 확인 / 수정할 수 있습니까? 쿠키 : 초기 버전에서 고유 한 클라이언트 ID가있는 텍스트 파일 및 클라이언트에 필요한 기타 모든 정보 (예 : 역할) 세션 : 고유 한 클라이언트 ID 만 파일 (쿠키라고도 함)로 전송되며 다른 …

12 authentication  authorization  session  cookies  jwt 

웹 응용 프로그램 및 RESTful 웹 서비스를 구축 중입니다. 웹 서비스에 대한 요청을 인증하는 가장 좋은 방법에 대한 다양한 기사를 읽었습니다. 나에게 가장 좋은 옵션은 HTTP 기본 인증을 사용하는 것 같습니다. 거의 모든 기사에 따르면 인증은 SSL 또는 이와 동등한 것으로 암호화되어야한다고 말합니다. 이것이 무엇을 포함하는지 완전히 확신하지 못합니다. 이것은 …

11 web-services  rest  authentication  ssl  https 

나는 생산하고 소비 할 REST 서비스 용 API를 개발 중입니다. 지난 며칠 동안 인증을 잘 처리하는 방법을 알아 내려고 노력했으며 마침내 무언가를 생각해 냈습니다. 응용 프로그램 스택에 대한 다음 사실을 기반으로 이것을 생각해 냈습니다. 클라이언트 및 서버는 .NET4 (클라이언트 프로파일의 클라이언트 부분)에 있습니다. WCF REST를 사용하여 서버 노출 앱의 사용자 …

11 algorithms  rest  authentication 

클라이언트가 클라이언트 인증서를 사용하여 인증되는 REST API를 작성 중입니다. 이 경우 클라이언트는 개별 사용자가 아니라 일종의 프레젠테이션 계층입니다. 사용자는 사용자 정의 접근 방식을 사용하여 인증되며 프리젠 테이션 계층은 이것이 올바르게 수행되었는지 확인해야합니다 (참고 : 이것이 올바른 접근 방법은 아니지만 API는 공개되지 않음). 각 요청 (비밀번호 아님)에 대한 사용자 이름을 전달하고 …

10 rest  authentication  headers 

클라이언트의 권한 및 역할에 대한 정보가 JWT에 포함되어야합니까? 유효한 토큰이 올 때마다 JWT 토큰에 이러한 정보를 갖는 것이 매우 유용합니다. 사용자에 대한 권한에 대한 정보를 추출하는 것이 더 쉬울 것이며 데이터베이스를 호출 할 필요가 없습니다. 그러나 이러한 정보를 포함하고 데이터베이스에서 동일한 정보를 다시 확인하지 않는 것이 보안 문제입니까? 또는, 위에서 …

9 security  authentication  jwt 

JWT 사양은 페이로드와 전송 방법 만 설명하지만 인증 프로토콜을 열어두고 유연성을 허용하지만 불행히도 유연성은 반 패턴 및 잘못된 설계로 이어질 수 있습니다. JWT 인증을 위해 잘 생각되고 테스트 된 엔터프라이즈 패턴을 찾고 있는데 사용하거나 적용 할 수 있지만 완전한 것을 찾지 못했습니다. 내가 생각한 것은 : Authorization 헤더가 충족되지 않거나 …

9 rest  authentication  architectural-patterns 

동일한 콘텐츠를 요청하려면 승인이 필요한 동시 사용자의 매우 큰 충동을 처리 해야하는 웹 앱을 개발 중입니다. 현재 상태에서는 32 코어 AWS 인스턴스까지 완전히 무너지고 있습니다. (우리는 Nginx를 리버스 프록시로 사용하고 있습니다) 최악의 경우 JWT를 디코딩하여 사용자가 인증되었는지 확인해야하므로 응답을 간단히 캐시 할 수 없습니다. 이것은 대부분 동의 할 것이다 Laravel …

9 authentication  caching  nginx