L'authentification est l'acte d'une entité prouvant son identité à une autre entité. Les exemples courants impliquent la cryptographie à clé publique. Par exemple, prouver qu'un site Web bancaire appartient réellement à la banque que vous pensez qu'il appartient.
Je veux exposer une ressource sur le Web. Je veux protéger cette ressource: m'assurer qu'elle n'est accessible qu'à certaines personnes. Je pourrais mettre en place une sorte d' authentification basée sur un mot de passe . Par exemple, je ne pouvais autoriser l'accès à la ressource que par...
L’empreinte du navigateur est-elle une méthode suffisante pour identifier de manière unique les utilisateurs anonymes? Et si vous intégriez des données biométriques telles que des gestes de souris ou des modèles de frappe? L’autre jour, j’ai rencontré l’expérience Panopticlick, EFF fonctionne sur...
Je ne comprends pas le raisonnement pour rendre les revendications / charge utile d'un JWT visibles publiquement après le décodage en base64. Pourquoi? Il semble qu'il serait beaucoup plus utile de le chiffrer avec le secret. Quelqu'un peut-il expliquer pourquoi, ou dans quelle situation, garder...
J'ai lu des informations sur les authentifications et je suis devenu déroutant sur la classification des types. Commençons par l'authentification basée sur les cookies, si je comprends bien, le point clé est que toutes les données, nécessaires à l'authentification des utilisateurs, sont stockées...
Pour mon travail, nous avons un bon service Web RESTful que nous avons construit que nous utilisons pour piloter quelques sites Web que nous avons. Fondamentalement, le webservice vous permet de créer et de travailler avec des tickets de support, et le site Web est responsable de l'interface. Toute...
Je conçois une API REST à l'aide d'une autorisation / authentification via une clé API. J'ai essayé de trouver le meilleur endroit pour cela et j'ai découvert que beaucoup de gens suggèrent d'utiliser un en-tête HTTP personnalisé tel que ProjectName-Api-Key, par exemple: ProjectName-Api-Key: abcde...
J'utilise des jetons JWT dans les en-têtes HTTP pour authentifier les demandes auprès d'un serveur de ressources. Le serveur de ressources et le serveur d'authentification sont deux rôles de travail distincts sur Azure. Je ne peux pas décider si je dois stocker les revendications dans le jeton ou...
J'ai Windows 10 avec Git installé. Ce Git utilise mon C:/Users/MyNamerépertoire comme répertoire HOME et le répertoire qu'il /.ssh/contient, de manière appropriée pour trouver mes clés SSH privées. Je viens d'activer et de configurer "Bash sur Ubuntu sur Windows" (quelle bouchée!) Et d'y installer...
Je construis une API RESTful qui utilise des jetons JWT pour l'authentification des utilisateurs (émise par un loginpoint de terminaison et envoyée dans tous les en-têtes par la suite), et les jetons doivent être actualisés après un laps de temps fixe (invocation d'un renewpoint de terminaison, qui...
Lorsqu'une API nécessite qu'un client s'authentifie auprès d'elle, j'ai vu deux scénarios différents utilisés et je me demande quel cas utiliser pour ma situation. Exemple 1. Une API est proposée par une entreprise pour permettre à des tiers de s'authentifier avec un jeton et un secret à l'aide de...
Je démarre bientôt un nouveau projet, qui cible les applications mobiles pour toutes les principales plateformes mobiles (iOS, Android, Windows). Ce sera une architecture client-serveur. L'application est à la fois informative et transactionnelle. Pour la partie transactionnelle, ils doivent avoir...
Je viens de lire cet article qui date de quelques années mais décrit une manière intelligente de sécuriser vos API REST. Essentiellement: Chaque client possède une paire de clés publique / privée unique Seuls le client et le serveur connaissent la clé privée; il n'est jamais envoyé sur le fil Avec...
Nous prévoyons de refaçonner notre système d'entreprise en un système basé sur des micro-services. Ces micro-services seront utilisés par nos propres applications internes à l'entreprise et par des partenaires tiers si nécessaire. Un pour la réservation, un pour les produits, etc. Nous ne savons...
Je comprends assez bien l'ICP d'un point de vue conceptuel - c'est-à-dire les clés privées / clés publiques - les mathématiques derrière elles, l'utilisation du hachage et du cryptage pour signer un certificat, la signature numérique des transactions ou des documents, etc. J'ai également travaillé...
J'ai développé une application qui supportera de nombreux utilisateurs. Le problème est que je ne peux pas comprendre comment authentifier le client / utilisateur. Je crée une application comme http://quickblox.com/ où je donnerai des informations d'identification à mes utilisateurs et ils les...
Je veux implémenter un service d'authentification plus robuste et jwtc'est une grande partie de ce que je veux faire, et je comprends comment écrire le code, mais j'ai un peu de mal à comprendre la différence entre le réservé isset les audrevendications. Je comprends que l'un définit le serveur qui...
J'ai besoin de quelques idées sur la façon de protéger une clé API privée dans une application, en particulier dans une application ac # .NET. Tout d'abord, je comprends qu'il est théoriquement impossible de cacher quoi que ce soit dans le code source, j'ai donc proposé une autre idée, mais je ne...
J'ai eu une question aujourd'hui de la part de mon responsable me demandant ce que je considère comme une conception acceptable pour l'authentification d'une application de formulaire Web, en particulier en ce qui concerne la nature de nombreux navigateurs populaires, à "Mémoriser le mot de passe"...
Je lis sur l'authentification / autorisation dans les applications Web. Quelqu'un pourrait-il confirmer / corriger mes connaissances actuelles? Cookies: dans leur première version, un fichier texte avec un identifiant client unique et toutes les autres informations nécessaires sur le client (ex:...
Est-ce une ingénierie excessive si j'ajoute une protection contre les actes répréhensibles intentionnels d'un utilisateur (pour le dire légèrement), si le préjudice que l'utilisateur peut subir n'est pas lié à mon code? Pour clarifier, j'expose un service JSON RESTful simple comme celui-ci: GET...