为公共客户端使用cookie保护web API的陷阱
是在使用cookie来保护web API时可能会遇到的一些问题和挑战。虽然cookie是一种常见的用于身份验证和会话管理的机制,但在公共客户端中使用cookie时需要注意以下陷阱:
- 安全性问题:使用cookie来保护web API可能存在安全风险。由于cookie是存储在客户端的,攻击者可以通过各种手段获取和篡改cookie的内容,从而冒充合法用户进行恶意操作。因此,仅仅依靠cookie来保护web API可能不足以确保安全性。
- 跨域问题:如果web API和公共客户端不在同一个域下,使用cookie来进行身份验证可能会遇到跨域问题。由于浏览器的同源策略限制,跨域请求通常不会携带cookie信息,这就导致了无法正常进行身份验证的问题。解决这个问题的一种方法是使用跨域资源共享(CORS)机制来允许跨域请求携带cookie。
- 扩展性问题:使用cookie来保护web API可能会限制系统的扩展性。当需要在多个公共客户端上使用同一个web API时,每个客户端都需要保存和传递cookie信息,这增加了系统的复杂性和维护成本。而使用基于令牌(Token)的身份验证机制可以更好地支持系统的扩展性。
针对以上陷阱,可以考虑以下解决方案:
- 使用基于令牌的身份验证机制:基于令牌的身份验证机制可以更好地解决安全性和跨域问题。通过在客户端和服务器之间传递令牌,可以实现更安全的身份验证和授权机制。腾讯云提供的相关产品是腾讯云API网关(API Gateway),它支持基于令牌的身份验证和访问控制,可以帮助保护web API的安全性。
- 使用OAuth 2.0协议:OAuth 2.0是一种常用的授权框架,可以用于保护web API。通过OAuth 2.0,客户端可以获取访问web API的令牌,并在每次请求中携带该令牌进行身份验证。腾讯云提供的相关产品是腾讯云API网关(API Gateway),它支持OAuth 2.0协议,可以帮助实现安全的身份验证和授权机制。
总结起来,为公共客户端使用cookie保护web API时需要注意安全性、跨域和扩展性等问题。建议使用基于令牌的身份验证机制或OAuth 2.0协议来实现更安全和可扩展的身份验证和授权机制。腾讯云的API网关(API Gateway)是一个推荐的产品,可以帮助实现这些功能。更多关于腾讯云API网关的信息可以参考腾讯云官方文档:腾讯云API网关产品介绍。
相关·内容
2回答
我正在创建Angular单页应用程序,我想使用带有OAUTH 2.0的JWT (JSON web tokens)。我正在阅读最佳实践,并找到了应该对它有帮助的的OAuth 0文章。
我的应用程序应该能够登录用户,并让他登录60天。我知道在浏览器中存储访问令牌60天是不太安全的,建议使用短期访问令牌。因此,我在考虑使用刷新令牌并将其存储在HttpOnly安全Cookie中,以禁止从客户端Javascript读取它,但在这篇auth0文章中,他们说这非常不安全,SPA不应该使用刷新令牌,但他们没有说明原因。
如果我的auth API代码交换端点在JSON响应中返回access_token,而在Ht
浏览 1提问于2017-09-18得票数 2
1回答
我正在用.net核心编写一个使用API和网站的web应用程序。
web服务构建一个JWT-令牌。这是服务配置(删除了不必要的部分)。
public void ConfigureServices(IServiceCollection services)
{
//...
var tokenValidationParameters = new TokenValidationParameters
{
// The signing key must match!
ValidateIssuerSigningKey = true,
I
浏览 1提问于2018-04-17得票数 1
回答已采纳
我想为其他合作伙伴Android应用程序构建一个API,但那时这个api将是一个web应用程序,这样用户就可以通过android应用程序和web应用程序登录。我使用rails session[]哈希来管理会话,但是当我尝试从用于测试的节点js应用程序访问时,它没有保留会话,我猜是用于cookie。
我读过关于设计的书,但我不太明白.我需要一些方式登录,并检索数据从android设备,而不发送用户id和密码,每次拉一个请求。
最好的办法是什么?我该和设计一起去吗..。
提前谢谢。
浏览 3提问于2014-05-09得票数 0
回答已采纳
我用yii2编写了rest,我使用的是oAuth2,问题是当用户想要登录时,客户端web应用程序应该发送请求获取令牌,请求应该包含client_id和secret_key以及用户名和密码在这种情况下,用户可以简单地检查元素并单击到网络并查看提交给服务器的参数,这意味着用户可以看到client_id和secret_key。client_id和secret_key是每个应用程序的签名,服务器可以找到使用api的应用程序。如何处理这个安全问题?
浏览 3提问于2018-01-20得票数 1
回答已采纳
1回答
我需要在Azure Portal注册一个应用程序,以便为我的Windows桌面应用程序检索一个令牌。
我是选择Web / API还是本机?
应用程序详细说明主应用程序是Windows桌面可执行的。它不运行在手持设备(例如SmartPhone)上,也不涉及网页浏览器。
我们使用EWS托管API创建了一个类型库,以便在Exchange中直接创建约会(我们使用Exchange在线)。现在,我们希望使用OAuth API进行身份验证。
浏览 2提问于2019-04-05得票数 0
我目前有几个Web端点使用访问密钥进行保护。我并不反对放弃这个安全模型。
现在,我们正在构建一个将使用这些服务的web应用程序。前端将有一个登录屏幕来保护应用程序的各个部分。我还希望使Web API服务可供我们自己的应用程序以外的应用程序使用(考虑公共API)。
我应该如何保护我的服务,并允许从我们自己的web UI和作为服务进行访问?
浏览 0提问于2014-04-01得票数 0
我正在将ASP.NET Web 2服务作为RESTful API来支持移动应用程序。
问题是CSRF网站上的所有文章,包括:
大家都谈到基于曲奇的反CSRF验证。
我需要在我的移动应用程序中放置这样的cookie,不仅如此,它还必须预先加载,应用程序才能立即工作。有没有办法不需要设置cookie就可以使用这样的反CSRF安全方法?或者,是否有一种方法可以在移动应用程序中预加载安全cookie,这样我们就可以立即使用它,而无需设置cookie设置步骤?
浏览 1提问于2014-07-04得票数 3
回答已采纳
3回答
我希望提高通过SSL访问的现有REST的安全性。web服务是多租户的,因此每个租户都有一个指定的TenantId。
我所面对的问题可概括为:
我怎么才能确定房客?
我如何确定客户是合法的?
基于HTTP cookie的安全性是否适合该任务,还是应该考虑基于令牌的安全性?
当前
目前,我们通过电话等手工向每个客户端发出一个API密钥,它们作为HTTP报头包含在每个请求中。这个API键映射到一个TenantId。当客户端向REST发送登录请求时,我们确定TenantId,这反过来允许我们在正确的租户数据库中检查用户名/密码。一旦成功,我们就会发布一个有时间限制的HTTP cookie。然后,该co
浏览 0提问于2015-01-23得票数 18
回答已采纳
1回答
我们有一个web应用程序,后端由API组成。我们使用OAuth来授权web应用程序调用API。我们都知道,在OAuth中,总是有用于获取授权代码的授权端点,而授权端点又用于获取授权令牌。在授权端点中,其输入参数的一部分是client_id。它是要访问资源的组件的标识符(例如移动应用程序、web应用程序)。
在这种情况下,client_id是否存储在浏览器中?我们怎么知道它存放在哪里?
如果web应用程序的用户能够成功地进行身份验证,然后使用OAuth,则会获得通过web应用程序访问app的授权,但是在他使用他的机器之后,下一个用户就能够在浏览器中获得client_id。他(她)是否能够访问这些
浏览 0提问于2020-04-26得票数 4
1回答
我们的AngularJS应用程序位于site.com中,我们的API托管在api.site.com中,后端是由ASP.NET Web编写的,显然应该在site.com和api.site.com之间启用CORS,中的文档说:
XSRF是一种攻击技术,攻击者可以通过这种技术诱使经过身份验证的用户在您的网站上不知情地执行操作。AngularJS提供了一种对抗XSRF的机制。在执行XHR请求时,$http服务从cookie (默认情况下,XSRF)读取令牌,并将其设置为header (XSRF)。因为只有在您的域中运行的JavaScript才能读取cookie,所以您的服务器可以确信XHR来自运行在
浏览 5提问于2017-11-13得票数 0
回答已采纳
我正在使用GAE为我的Android应用程序构建一个后端,我想用Android应用程序发送的Google帐户对用户进行身份验证。
在OAuth2之前,您可以使用从_ah/login端点检索的Cookie来验证web应用程序的用户身份,但该方法已被弃用,我希望能够使用更新后的OAuth2方法。
在我的Android应用程序中,我已经能够使用以下代码行生成一个JSON Web令牌:
String jwt = GoogleAuthUtil.getToken(FamiliarActivity.this, Plus.AccountApi.getAccountName(mGoogleApiClient)
浏览 1提问于2014-08-30得票数 2
1回答
我正在PHP中设置几个cookie。其中之一,当设置时,总是被删除。下面是我设置它们的方法:
setcookie("UserName",$_COOKIE['UserName'],time() + (60*60*24*7));
setcookie("KeepPost",'',time() + (60*60*24*7));
第一个设置并在一周内到期,第二个设置,但已经删除,并在1970年到期。
我为他们俩做的方式是一样的,即使在同一个地方,到底发生了什么?
浏览 0提问于2017-01-17得票数 1
回答已采纳
我已经检查了许多示例,甚至微软在Azure ADB2C身份验证上也是如此。所有示例都展示了如何在Asp.Net核心Web应用程序和Web Api中实现Azure ADB2C。
在Azure Portal中,在注册Web App/Api时,有一个生成App密钥的选项。我的问题是:
我们真的需要生成App Key并在Asp.Net Web App中使用它吗?我尝试了许多示例,一切都很好,但当我在AzureAdB2COptions中设置无效的键时,它仍然工作,没有任何问题,也不会抛出任何错误。我从Azure门户中删除了密钥,但它仍然有效。有谁能解释一下原因吗?
我使用的示例是
此应用程序密钥是否用于
浏览 2提问于2019-12-23得票数 1
我设法理解Web是如何工作的,并且我必须为我们的内部网创建一个集中的安全身份验证系统。 问题是,我需要使用Web API和LDAP来完成这项工作,但是我找不到任何包含足够文档的示例来启动并运行一个简单的系统以进行测试 理论上应该很简单,客户端通过json将加密的用户名和密码发送到web api,web api根据ldap验证用户,并使用用户数据创建令牌并将其发送回来。
浏览 11提问于2019-03-25得票数 0
我正在构建一个将从JavaScript客户端使用的PHP REST API,并且在弄清楚如何实现身份验证和访问方面遇到了一些问题。将有多个应用程序使用JavaScript库,我将开发该库来与我的应用程序对话和交互。我会为他们每个人提供API密钥,所以这不是问题。
我开始感到困惑的是如何让这些站点上的用户对我的应用程序进行身份验证。让这个外部站点存储我的用户的帐户和密码信息似乎不是一个好主意;因此,我想我应该让我的JavaScript库包含一个登录小部件,该小部件要求我的应用程序提供用户的帐户信息。
如果身份验证成功,因为我使用的是REST API,所以我需要将检索到的令牌存储在客户端cooki
浏览 0提问于2013-01-11得票数 22
回答已采纳
我正在Web 2中设置承载令牌身份验证,我不知道承载令牌是如何(或者在哪里)存储在服务器端的。以下是相关代码:
启动:
public partial class Startup
{
public static OAuthAuthorizationServerOptions OAuthOptions { get; private set; }
public static Func<UserManager<IdentityUser>> UserManagerFactory { get; set; }
public static string Publ
浏览 1提问于2014-01-13得票数 62
回答已采纳
1回答
我正在使用一种基于cookie的身份验证技术来进行web服务身份验证。我在客户端机器上使用加密技术设置Cookie值。以及我在web服务方法中用于身份验证目的的Cookie值。我的疑问是,有没有可能在任何浏览器中通过任何第三方扩展工具编辑cookie值?
浏览 0提问于2014-03-09得票数 1
1回答
我正在浏览auth2.0协议1,以及验证密钥RFC 2,它很好地解释了该协议如何防止恶意应用程序监听网络流量。但是,我无法理解auth 2.0协议是如何防止恶意代码在浏览器上工作的。
让我们来看一个证明密钥RFC协议的简单例子。我们生成一个高熵的代码验证器,但是我们必须将它存储在浏览器的某个地方(可能在cookie/ browser的本地存储中)才能再次使用它来获取令牌。现在,如果有恶意代码在浏览器上执行,它总是可以访问cookie/本地存储并获得代码验证器。
是否有协议增强(类似于RFC-7636),以防止基于cookie的攻击?如果没有,我们如何减轻这种情况?
浏览 5提问于2017-04-07得票数 0
回答已采纳
从:CSRF攻击起作用,因为浏览器请求自动包含所有cookie,包括会话cookie。
为了防止这种情况,我们可以使用双提交cookie哈希。
在我发现的一些示例代码中,基本上找到了这个算法。
受害者访问应用程序:
后端:生成与登录cookie相关的登录cookie和散列字符串
前端:将散列字符串存储到第二个cookie中(例如: CSRF-token cookie)
前端(安全):发送带有登录cookie和CSRF HTTP报头的请求,其中标头值是从CSRF令牌cookie中提取的。
攻击者:
使用某种社交媒体工程让用户点击恶意链接,其中恶意链接使用会话cookie。
浏览 3提问于2021-01-22得票数 6
1回答
我正在开发一个php应用程序,它连接到一个客户网站(Java+ExtJS),并从那里获取一些数据。
问题是客户的应用程序没有任何可用的外部API,所以我需要使用专门为ExtJS前端设计的内部API。
网站受CAS保护,所以我尝试认证为“浏览器”,并使用PHP手动处理cookie和票证。我想知道是否有更好的方法来处理CAS客户端?我真的希望只在请求头中提供我的凭据,而不是试图处理所有的cookie和票证。
浏览 2提问于2014-10-23得票数 0
API终结点:/api/items/有authentication_classes = (SessionAuthentication, )
在我的Vue.js代码中有:
getCookie: function (name) {
match = document.cookie.match(new RegExp(name + '=([^;]+)'));
if (match) return match[1];
return
},
...
saveApiCall: function (data) {
this.$http.post("/api/i
浏览 2提问于2019-12-14得票数 0
回答已采纳
当需要发送html文档体时,如何在客户机通过身份验证而不使用Cookies的情况下将JWT发送到客户端?
有文档、博客文章和教程,它们解释了没有cookie的jwt身份验证,并利用Web来保存jwt客户端。但是,所有这些都是微不足道的例子,没有在http响应体中发送html文档进行身份验证,这在我可以想象的一些实际应用程序中是必要的。可以在cookie http响应头中发送cookie,同时在同一个响应体中使用html文档,我仍然无法看到解释使用jwt作为响应而不是cookie的帖子。如我所知,如果您想在响应体中将jwt响应头与html文档一起发送,那么浏览器中的javascript中就没有一
浏览 4提问于2016-01-17得票数 0
我真正想知道的是,是否需要将CSRF令牌添加到不使用cookie的站点上的表单中?我在我的网站上不使用cookie,我使用会话。当然,对于我所有的表单,我都使用post方法。如果我需要使用它们,您能解释一下为什么吗?因为我读到CSRF攻击是通过存储在web浏览器中的cookie发生的。所以,我的逻辑是没有cookie,没有CSRF攻击。我说的对吗?
提前表示感谢。
浏览 1提问于2021-07-20得票数 0
回答已采纳
一旦将CreateFreshApiToken添加到Kernel.php中的“web”中间件组中,就应该将laravel_token cookie附加到通过web中间件的每个请求的响应中,不是吗?例如,这个组中的任何东西都应该收到cookie:
Route::group(['middleware' => ['web']], function () {
Route::get('/{vue?}', function () { return view('index'); } )->where('vue'
浏览 6提问于2017-07-28得票数 4
回答已采纳
我使用yii2 2的cookie类和下面的代码在服务器端设置cookie,但是当我用javascript在客户端上设置cookie时,它以不同的格式打印,比如3ab2e6b31664352c0398b57bd98720da925d1254d476f4d7c4e7c29ce71c0c14a:2:{i:0;s:3:"uid";i:1;i:1;},原因是什么,获得uid值的正确方式是什么?
$cookies = Yii::$app->response->cookies;
if (!$cookies->has('
浏览 5提问于2015-12-23得票数 1
回答已采纳
我正在使用Zappa将django REST API部署到AWS Lambda。对于身份验证,我想在我的angular web应用程序、移动应用程序和django REST API之间使用JWT令牌。如何在没有任何会话或cookie的情况下保持我的django REST API的无状态?
浏览 0提问于2019-04-18得票数 1
我有一个SPA应用程序,它向匿名用户提供统计数据和信息。它是一个react spa应用程序,将使用后端REST Web API(.net核心)。这些数据不是特定于用户的,因此这些信息是免费提供的,不需要用户身份验证。然而,我不希望我的后端Api层暴露在互联网上(即不被匿名应用程序使用,如邮递员、rest客户端等)。我熟悉客户端凭据流(OAuth),但我不能在此应用程序中使用它,因为此应用程序中没有用户登录的概念。 我最好的选择是什么来限制匿名应用程序(如邮递员等)访问我的API层,或者根本不可能?
浏览 18提问于2020-07-09得票数 1
我有一个关于HttpOnly cookie的问题。跟踪其他线程没有多大帮助,因此我在这里发布我的查询,以了解您是否可以预见到我的理解中的任何问题。
有一个网站,比方说www.example.com,它将cookie设置为两个阶段。
负载均衡器与客户端的连接-- LB_Cookie加密
客户端与Web的连接-- ASP.NET_Session_Cookie加密和HttpOnly
在上面的示例中,ASP.NET_Session_Cookie是HttpOnly (免受XSS攻击的安全)--这是包含用户会话信息的cookie。但是,对于LB_Cookie,没有设置HttpOnly标志。我不知道这会不会
浏览 0提问于2015-06-25得票数 4
回答已采纳
我是MEAN stack的初学者。
当调用未经验证的REST API时(不需要用户登录),API端点在JS文件中公开。我通过论坛发现,没有办法防止滥用者直接使用API端点,甚至无法使用这些端点创建自己的web/应用程序。所以我的问题是,有什么方法可以避免暴露JS文件中的端点吗?
类似地,有没有什么方法可以不在前端使用REST调用,而仍然能够在均值堆栈中为那些动态内容/API输出数据提供服务?我使用EJS。
浏览 4提问于2017-11-02得票数 1
1回答
我目前正在我的mvc4应用程序中实现web api,并且有一个关于对web api服务的调用者进行身份验证的问题。
在我的web应用程序中,web api将用于两个不同的原因。首先,我的javascript与服务器通信,其次,第三方组件与我的应用程序通信。
因此,我想对服务的调用者进行身份验证。在标题中为任一调用者传递用户名和密码都很简单,但标题可能会被非法用户嗅探到。如果我将服务设为https,这将防止出现这种情况,但这会导致我的js在富应用程序中调用它时出现性能问题。
我已经看过网络上的例子,但到目前为止还找不到一个解决方案来覆盖这两个mt场景并保护我的服务。我很有兴趣听到关于如何解决这个
浏览 1提问于2012-10-18得票数 0
2回答
我有一个ASP.NET Web,我在下注册了一个新的应用程序。
这就是Web的源代码中的ConfigureAuth。
public void ConfigureAuth(IAppBuilder app)
{
// Configure the db context and user manager to use a single instance per request
app.CreatePerOwinContext(ApplicationDbContext.Create);
app.CreatePerOw
浏览 4提问于2017-03-23得票数 1
回答已采纳
1回答
我有一个后端服务器为REST实现基于JWT的身份验证。虽然前端webapp是在angular js中开发的,我计划将JWT存储在HTTPOnly cookie中(具有CSRF保护)。原生android应用程序也可以访问这些REST API。然而,看起来原生android应用程序不能设置cookie。我希望避免将JWT存储在浏览器本地存储中。
有没有一种通用且安全的方式来为REST API实现基于JWT的身份验证,该API既适用于web应用程序,也适用于原生android移动应用程序?
之前我考虑过使用用户代理来区分webapp和mobile app,并实现了两种不同的身份验证机制。
浏览 0提问于2019-07-02得票数 0
1回答
使用ajax登录和表单登录的2
、、、、
开发一个需要REST身份验证和表单登录的应用程序。目前,使用ajax登录的2可以工作。在随后的请求中,可以发送“授权承担者”,服务器成功地授权请求。
登录/登录的Ajax代码
function signIn() {
$.ajax({
type : 'POST',
url : 'oauth/token',
data : {
'client_id' : 'XXXXX',
浏览 3提问于2015-11-24得票数 1
回答已采纳
2回答
我刚刚开始学习asp.net核心。我想创建一个简单的web应用程序,在那里我会有一个asp.net核心的rest API,然后与一些角度消费该API的单独前端。
我只是在尝试弄清楚ASP.NET核心身份和cookie/token身份验证时遇到了一点麻烦……
我的问题很简单:我可以创建一个应用程序接口,并使用实体框架来处理数据库处理和ASP.NET核心身份来处理创建和管理用户和授权吗?我还需要使用一些JWT,OAuth或者类似的东西吗?只是这一切对我来说都是超级新鲜的,我感到困惑,因为每个例子/教程都以不同的方式展示它,我变得非常困惑……
谢谢你的帮助!
浏览 1提问于2017-01-11得票数 7
2回答
我试图配置我的环境,以便只能通过HTTPs (保护它免受XSS攻击)访问身份验证cookie。我读了几篇文章,得出的结论是我应该将requireSSL属性设置为"true“
<authentication mode="Forms">
<forms name="someName" loginUrl="~/login" timeout="40" protection="All" slidingExpiration="true" defaultUrl="~/index
浏览 3提问于2013-11-13得票数 4
我有一个独立的网络服务客户。当调用任何web方法时,附加的"cookie“字符串必须是implicitly(not作为web方法参数)传递给WS。另一端的WS必须能够获得字符串并使用它。如何才能做到这一点?
我以以下方式调用该服务:
Service srv = Service.create(new URL(WSDL), QNAME);
myClassPort = srv.getPort(MyClass.class);
我需要的是将一些代码放在第一行之前,这将使客户端每次通过myClassPort调用某个远程方法时都会发送这个"cookie“字符串。谢谢。
浏览 7提问于2012-04-18得票数 3
回答已采纳
我有一个简单的登录设置,我使用cookie存储登录ID #,使用此ID可以显示用户名和其他信息。
因此,为了注销,我运行以下php脚本来注销:
<?php
if (isset($_COOKIE['id'])) {
setcookie("id","",1);
}
header("Location: redirectpage.html");
exit;
?>
这基本上会使cookie过期。但是,当我到达重定向页面时,它包含以下代码:
If (isset($_COOKIE['id'])) {
//displa
浏览 0提问于2012-08-07得票数 0
回答已采纳
我正在尝试理解Cookie;持有者和JWT之间的区别,特别是在.NET核心上下文中。我已经花了几天的时间来研究这个问题。
我的研究告诉我,Cookie和持有者是可选的身份验证机制,它们都表示为JWT。
可以说.NET核心web应用程序应该使用Cookie,而.NET核心Web API应该使用承载程序吗?我问这个问题的原因是,我看过的(在Cookie核心上下文中)每个持有者示例都使用Web API,而我看过(在.NET核心上下文中)Cookie的每个示例都使用web应用程序。我可以理解这一点,因为我的研究告诉我,cookies最适合web应用程序(使用浏览器-最适合cookies),但是web
浏览 1提问于2019-07-28得票数 0
1回答
我正在用PHP构建一个web表单,只供用户请求关于我的服务的信息或发送评论,所以我不需要用用户名和密码记录用户,也不需要数据库。我已经有了服务器端的验证和卫生脚本。
我只想确保表单是从同一个域发送的,而不是在HTML或JS中操作,有'httpOnly'参数的cookie就足够了吗?还有一个csrf令牌?我不需要设置$_SESSION,对吗?
因此,如果联系人页面可能是攻击的目标,那么csrf或cookie的标题应该只在该页面中,这可以称为“contact.php”吗?其他页面可能不需要它,因为它纯粹是信息丰富的。
在我读到关于HTTP_REFER的文章之前,我看上去很不推荐。P
浏览 0提问于2022-06-26得票数 0
2回答
在开发了我的第一个web门户(使用railstutorial.org)之后,我现在正在构建我的第一个API (在一些帮助下)。
web门户的身份验证使用session以及cookie (如果用户希望他的登录被记住)。
对于API,我理解使用session是不安全的;您只需要使用令牌。因此,与web门户一样,当用户登录到API时,会检查他的凭据,如果它们是有效的,则生成一个标记,其中摘要将存储到数据库中。
但接下来:我理解了三个选项:使用cookie将令牌存储在用户的计算机上,将令牌作为参数存储在用户的计算机上,或者使用HTTP头。我使用HTTP头读取API是首选选项。
如果使用 cooki
浏览 1提问于2016-01-21得票数 1
回答已采纳
1回答
我正在开发一个使用WordPress进行用户管理的应用程序。登录后,应用程序将保存auth cookie。如何使用该cookie打开应用程序中受保护页面的web视图,而无需用户再次登录?
应用程序能指定一些标头参数吗?还是URL查询参数?提供这种功能的插件?
更新: auth最初是使用JSON用户插件获取的。
浏览 0提问于2015-07-02得票数 0
1回答
从表面上看,“令牌auth”似乎与传统的"cookie auth“基本相同。
象征性的:
用户向API提交用户名/密码
API用访问令牌进行响应
客户端存储用于在未来请求中标识用户的访问令牌。
Cookie auth:
用户向API提交用户名/密码
API用cookie进行响应
客户端存储用于在未来请求中识别用户的cookie。
看起来,令牌auth与cookie auth基本相同,只不过大多数HTTP客户端已经知道如何自动管理cookie,而必须手动管理API令牌。
我遗漏了什么?使用令牌的好处是什么?真的值得付出额外的努力吗?
浏览 5提问于2016-02-05得票数 1
回答已采纳
2回答
见下面的更新..。
我的反应前端能够调用我的节点后端API。但是,当外部站点调用my时,它会收到一个错误。如果我注释掉设置的CSRF部分(5行),那么第三方服务可以调用我的API。
const express = require("express");
const cookieParser = require("cookie-parser");
const csurf = require("csurf");
var cors = require("cors");
var corsOptions = {
origin: p
浏览 3提问于2022-04-17得票数 1
回答已采纳
我已经被困在这里好几个小时了,不知道你能不能帮我个忙,或者给我一些建议?
长话短说,我有一个asp.net web api应用程序,在我的一个页面中,我试图从web api加载一些数据,并将它们添加到几个下拉列表中。无论如何,当页面加载时,我使用jQuery ajax
$(document).ready(function () {
//Fires when page loads
LoadMachines();
LoadMachieGroups();
LoadPrinterServer();
LoadSavePreference();
});
例如,每个函
浏览 0提问于2013-11-11得票数 0
1回答
无记名和Cookie认证
、、、、
我有两个网络项目: MyApp和Api.MyApp。MyApp是MVC5应用程序,Api.MyApp是MVC WebAPI应用程序。
MyApp是一个富客户端应用程序,它在其大部分操作中调用API项目。对于授权,我使用的是web的Bearer,但我也希望有一个cookie,这样我就可以在主MyApp MVC项目中保护某些路由。
要获得承载令牌(我称之为"“),我可以将这个承载令牌扔进cookie中并让MVC项目识别它吗?或者我必须发送两个单独的调用,一个发送到api以获取承载令牌,一个发送到mvc应用程序以获得cookie。这看起来有点多余,有更好的方法吗?
浏览 5提问于2014-08-24得票数 1
回答已采纳
我正在使用ASP.NET核心中的Cookie中间件进行会话Cookie。会话cookie数据由使用数据保护API的框架加密。
只是想详细了解这个过程中的保护程度。以下是我目前的假设:
cookie数据不能在浏览器中查看,也不能在浏览器中停留,并且是防篡改的。
如果通过HTTP监听cookie数据,则可以重放
如果发出cookie数据并仅通过HTTPS发送,则无法重放cookie数据。
如果这些假设中的任何一个都是错误的,或者需要更多的细节,那么我希望得到一个答案。
浏览 2提问于2016-11-16得票数 1
我只是尝试在Laravel 5.7上使用cookie使我的身份验证流更安全
下面是我的代码
/**
* auth logic
*/
return response()->json(["status" => "logged in"], 200)->cookie('token', $token, $lifetime);
然后,cookie将被保存在浏览器上,并将在每次请求时使用。
带Axios的标题
"cookie":"token={token}"
并且我使用默认的中间件验证身份验证
Route:
浏览 23提问于2021-06-03得票数 0
1回答
我已经为这个场景做了一个星期了。我已经使用以下链接实现了对客户端证书进行身份验证的代码:http://www.asp.net/web-api/overview/security/working-with-ssl-in-web-api。
还有几个问题:
如何验证只来自授权客户端的请求证书?(我知道用私钥,但怎么用的?)
目前,我正在使用自签名SSL和客户端证书.从何处以及如何获得受信任的证书?(我知道,从CA那里,但实际的过程是什么?)
如何向受信任的客户端颁发客户端证书?
对于上述问题,我有很多答案。以上问题我需要一个清晰的答案。我使用的是ASP.NET 4.5 (webAPI)。
任何帮助都
浏览 0提问于2015-09-25得票数 10
1回答
这是一个与概念方法相关的问题。
所以我有两个项目--在一个项目中,身份验证已经实现,工作正常。这是一个.net核心SPA与OpenID + Cookie (没有ASP.NET核心身份)。
第二个项目是REST,我想使用这个cookie来授权一些端点,所以基本上是SSO。
对我来说最大的挑战是,我不知道该如何修改第二个项目,以“接受”第一个项目中的cookie --我至少需要一些起点。
这一点也帮不上忙: --从文档中还不清楚我需要在中做什么--两个项目才能使它工作。
所以我想的是把services.AddAuthentication(...)从第一个项目复制到第二个项目,这样他们就可以共享相同
浏览 19提问于2022-03-25得票数 1
回答已采纳
1回答
SSL上cookie的默认行为
、、、、
我的web应用程序完全使用SSL。我想了解以下几点:
我只想知道,在HTTP上是否存在共享cookie的可能性,而不是在安全的https上。
或者,如果应用程序使用SSL,那么cookie的默认行为是什么。它们将通过HTTP或HTTPS共享。
如果我想确保所有的cookie只在HTTPS上共享,我是否需要做一些额外的设置。
如何为java应用程序设置这些设置(如果需要)。
安全曲奇是什么样子。它是可见的,加密的,还是根本看不见的。
在我的应用程序中,我使用mozilla add on : firebug来检查所有cookie的安全。我可以看到,很少的饼干是安全的,但
浏览 4提问于2014-10-14得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
