oauth2 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 26, 2018

jwt – چگونه مجوز پس از احراز هویت با استفاده از شناسه open شناسایی می شود

فرض کنید که یک مشتری یک شناسه شناسایی می کند و از یک سرور Auth به عنوان یک نتیجه از تأیید صحت موفق استفاده می کند. مشتری اکنون درخواستی را به سرور برنامه می فرستد. (درخواست شامل برچسب دسترسی و شناسه) است. به نظر من، سرور برنامه در حال حاضر برای تماس با سرور auth برای تأیید این نشانه ها. اگر پرونده ها معتبر باشند، سرور برنامه با درخواست ادامه می یابد. در غیر این صورت، درخواست را رد می کند. آیا این درست است؟

مسئله اصلی من با این تنظیم نیاز به تماس با سرور auth برای هر درخواست است. آیا روش استاندارد برای جلوگیری از این وجود دارد؟ نحوه استفاده از یک کلید مخفی (شناخته شده به هر دو سرور Auth و سرور برنامه) برای تأیید امضا – شبیه به JWT. در این مورد تفاوت بین openID اتصال + OAuth2 و JWT چیست؟

سپتامبر 18, 2018

احراز هویت – چه نوع oauth نوع اعطا باید پس از ورود به سیستم اجتماعی استفاده کنید

من یک برنامه کاربردی دارم که دارای سرویس میکروسکوپ مخصوص خود است تا علامت های دسترسی را صادر کند. برای کاربران ثبت نام با استفاده از ایمیل و رمز عبور من از grant_type = 'password' استفاده می کنم. وقتی که یک کاربر در استفاده از رسانه های اجتماعی اقدام به ثبت نام می کند چه می شود؟

من فکر کردم که یک رمز عبور تصادفی برای دسترسی به نشانه های دسترسی ایجاد کنم، اما سرور oauth فقط کلمه عبور متن ساده را می پذیرد و من رمز ذخیره شده در هش ها را در db خود ذخیره می کنم. آیا باید برای استفاده از نشانه های مختلف از نوع دیگری استفاده کنم؟

سپتامبر 13, 2018

oauth2 – ذخیره دسترسی OAuth و نوشتن نشانه ها در کوکی های غیر HttpOnly

عنصر اصلی از خطر XSS است. اگر هر برنامه XSS در برنامه شما وجود داشته باشد، می توان آن را به طور بی عیب و نقص نشان داد.

به محض اینکه یک Token به سرقت رفته باشد، مهاجم می تواند کاملا کاربر را جعل کند.

برای من روشن نیست به همین دلیل است که شما باید این کوکی ها را در خارج از HTML قرار دهید: آیا می توانید از کوکی دیگری برای ذخیره عنصر عمومی کوکی استفاده کنید (شاید کل بارگیری یا به سادگی انقضا و هر چیزی که برای مشتری خود نیاز دارید تا دریابید که آیا نیاز است به پورتال auth بروید) و نشانه های JWT را در کوکی های HTTP تنها نگه دارید؟

آگوست 24, 2018

نحوه استفاده از Oauth2 و JWT برای حفاظت از معماری میکرو سرویس؟

ما در حال بررسی مکانیزم مناسب برای ایمن سازی سرویس های میکروسکوپی هستیم که ما از طریق برنامه مدیریت API به عنوان نقاط پایانی API ارائه می دهیم.

اساسا ما نیاز به مکانیزم امنیتی غیرقانونی مانند JWT برای ایمن سازی هر نقطه پایانی API دارد

اینجا را وارد کنید

اما به نظر می رسد که هر درخواست باید از طریق Auth Server و پس از آن مکان بسیار شلوغ خواهد شد. هر مکانیسم استاندارد برای غلبه بر این وضعیت وجود دارد. ما در مورد ارائه نشانه دسترسی جداگانه به مشتری به جای نشانه اصلی Auth شنیدیم، اما با تأیید نشانه دسترسی از سطح سرویس microservice مواجه شدیم. هر راه حل واقعا قدردانی خواهد شد

با تشکر از قبل.

جولای 31, 2018

کدام جریان OAuth 2 توسط شرکت های بزرگتر مانند توییتر و فیس بوک استفاده می شود و چرا آنها آن را انتخاب کرده اند؟

بر اساس تجربه کاربر، به نظر می رسد توییتر و فیس بوک از اعتبار اعتبار رمز عبور صاحب منبع استفاده کنند. از آنچه که جریان کد مجوز را خوانده ام، امن ترین گزینه برای یک برنامه وب استاندارد است که دارای یک سرور پشتیبان است. آیا کسی می داند که کدام جریان را برای سایت خود استفاده می کنند و چرا؟