使用HTTP标头进行其余令牌身份验证
这是一个具有登录屏幕的现有系统,现在我将某些服务公开为REST服务。我为此Rest(jersey)服务构建了一个身份验证令牌登录系统。用户发送用户名密码,然后服务器返回计算为的令牌;
sha1(username+password+currenttime(or any random number))
用户将使用此令牌登录应用程序以获取进一步的请求。并且服务器将令牌的副本与时间戳和用户ID一起保留在数据库中,如果时间戳有效,则登录该用户。
考虑使用 HTTPS ,有几个问题;
我的设计看起来一切正常吗?(散列的生成以及我保存在DB中的方式)对我来说,最薄弱的地方是我需要通过POST请求发送简单的用户名和密码,但是由于它是HTTPS,所以我想这不会成为问题。
另一件事,对于第一个请求,由于它是现有系统,因此我的数据库中没有用户密码,但保留了用户密码的哈希表。我想向所有客户提供这种加密算法来向我发送其密码的哈希值是不安全的,因此我比较哈希值而不是密码。这有意义吗?
问题答案:
1 /
2-我建议将用户名/密码发布到服务器,然后服务器可以在主体中返回令牌。对我来说最有意义:您实际上并没有在服务器上存储太多,因此PUT将是错误的,而且查询参数根本没有任何意义。标头应该在请求之间保持一定的一致性,因此它们也没有任何意义。在实际使用令牌进行通信时,请随意使用查询参数或标头。没关系。
3-我会选择一个更长的哈希算法(sha256?)
-
我正在尝试在Dropwizard web应用程序中实现OAuth2身份验证。我已经创建了所需的<code>验证器 我所需的行为是,在我的客户端通过在我的登录页面上提供他/她的凭据登录后,我想将客户端重定向到我使用Dropwizard Views创建的问候语页面,并且路径为“/me”,如下所示: 我的问候资源如下所示: 目前,我得到一个“访问此资源需要凭据。”登录后的响应。在阅读了一些关于令牌认证的
-
致命:“https://github.com/scuzzlebuzzle/ol3-1.git/'”身份验证失败
-
我正在开发一个使用Spring Boot 2.4.1和Spring Security 5.4.2的Web应用程序,我需要提供HTTP基本身份验证和持有者令牌身份验证(JWT访问令牌从SPA发送用于每次API调用)。所有 API URL 都以路径 /api 开头,并且必须使用持有者令牌进行身份验证,但使用 HTTP Basic 所需的两个 URL(/api/func1 和 /api/func2)除外
-
我想使用我的GitLab帐户中的私有令牌克隆GitLab存储库,而不提示输入我的自动化脚本。 有人能给我一个样品吗? 我知道我可以使用用户和密码执行此操作: 我知道使用ssh密钥是可能的 但是,这两种选择都是不够的。
-
我正在尝试为我的应用程序构建一个身份验证解决方案。我使用React作为前端,使用API模式下的Rails作为后端。我有一个外部身份验证解决方案,我需要使用它。我无意中发现了Knock for JWT令牌管理,但我不理解文档,尤其是这部分“它必须有一个身份验证方法,类似于has_secure_password添加的方法”,因为由于我的外部身份验证服务,我没有用户模型。因此,在我的头脑中,登录请求将发
-
我正在尝试使用Sprint安全框架在Spring Boot中为我的HTTP请求设置授权。我是Spring Security的新手,我找不到任何关于我的情况的文档。 我知道我们必须重写WebSecurity配置适配器方法-configure(AuthenticationManagerBuilder) 这是我试图建立的流程。我的前端和后端托管在不同的域中,所以我也在寻找跨来源的授权。通过发布到REST