如何在C# Web API Rest Web服务中禁用HMAC身份验证
在C# Web API Rest Web服务中禁用HMAC身份验证,可以通过以下步骤实现:
- 禁用身份验证中间件:在Web API项目的Startup.cs文件中,找到ConfigureServices方法,并注释或删除以下代码:
services.AddAuthentication("HMACAuthentication")
.AddScheme<HMACAuthenticationOptions, HMACAuthenticationHandler>("HMACAuthentication", null);这样就禁用了HMAC身份验证中间件。
- 移除身份验证授权:在Web API项目的Startup.cs文件中,找到Configure方法,并注释或删除以下代码:
app.UseAuthentication();这样就移除了身份验证授权。
- 更新控制器:在需要禁用HMAC身份验证的控制器上,添加[AllowAnonymous]属性,示例如下:
[AllowAnonymous]
public class YourController : ControllerBase
{
// Controller actions
}这样就允许未经身份验证的访问该控制器。
需要注意的是,禁用HMAC身份验证可能会降低Web服务的安全性,请确保在禁用身份验证之前已经考虑了其他安全措施,并确保只有在特定情况下才禁用身份验证。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云容器服务(TKE):https://cloud.tencent.com/product/tke
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
- 腾讯云移动开发(移动推送、移动分析等):https://cloud.tencent.com/product/mobile
- 腾讯云区块链(BCS):https://cloud.tencent.com/product/bcs
- 腾讯云元宇宙(Tencent XR):https://cloud.tencent.com/product/xr
以上是关于如何在C# Web API Rest Web服务中禁用HMAC身份验证的完善且全面的答案,希望能对您有所帮助。
相关·内容
我正在开发一个C# Web API REST Web服务,它应该用于webhooks调用。 我的问题是,当我尝试连接到我的get服务并调用我的控制器时,我总是收到一条关于ms- when参数的错误消息。调用我的控制器的唯一方法是在客户端使用HMAC身份验证(即SHA对密钥和要发送到way服务的JSON数据进行计算)。似乎HMAC身份验证是默认设置的,即使我不需要它。 我添加了一个用于登录和密码检查的BasicAuthenticationFilter类,它可以工作,但在调用控制器之前,我仍然有关于ms-signature参数的错误消息。 如何在REST REST服务中禁用HMAC身份验证?通过
浏览 18提问于2019-10-16得票数 0
2回答
我正在为一个移动应用程序(Cordova)开发一个web服务(PHP),这个web服务提供了一些REST。
当前场景:API本身没有身份验证,任何有端点的人都可以发出请求,但是在应用层,所有操作都需要经过身份验证的用户(用户登录并接收JWT),这已经实现了。
发布:我想保护REST,仅供授权客户端使用(API密钥?)
我应该实现这样的东西:公钥和秘密(hmac)吗?
我走错路了,我应该使用像oauth这样的东西(*它是一个私有API *)。
浏览 0提问于2018-02-17得票数 0
回答已采纳
我正在创建一个REST API服务器。对于每个应用程序,我都提供了API密钥和密钥。示例应用程序有Web应用程序、移动应用程序和任何其他想要使用我的api服务的应用程序。现在,我的API服务也将需要用户身份验证。我该如何实现它呢?我已经使用hmac签名生成完成了应用程序身份验证。现在我需要在这些应用程序上实现用户身份验证的帮助。
浏览 0提问于2013-04-11得票数 0
回答已采纳
2回答
我正在开发一组REST,这些API需要被保护,以便只执行经过身份验证的调用。将有多个web应用程序来服务这些API。对于应该在何处进行身份验证,是否有最佳实践方法?
我想到了两个可能的地方。
让每个web应用程序使用共享身份验证服务来执行身份验证。这似乎与Security等工具是一致的,Security是在web应用程序级别上配置的。
用一个“网关”来保护每个网络应用程序的安全性。在这种方法中,web应用程序从不接收未经身份验证的调用。这似乎是Apache身份验证的方法。使用这种方法,您会使用Apache或nginx来保护它,或者在Apache/nginx和您的web应用程序之间使用其他什么东
浏览 0提问于2013-07-15得票数 5
1回答
标题可能有点误导,可能会给你一个印象,这是一个简单的,所以我将详细说明。
我有一组端点(REST服务),我希望在不使用Spring安全提供的常规登录方式的情况下保护它们。通常,您将首先瞄准登录端点(缺省情况下为j_pring_security_check),进行身份验证,然后将请求与JSESSIONID一起发送到服务端点。
在这种情况下,我希望工作时没有重定向。
在客户端,我想直接向服务端点发送带有API-Key和HMAC的报头,然后在服务器上根据这些参数对请求者进行身份验证,然后继续处理请求。我不想使用会话(类似于BasicAuthenticationFilter所做的事情)。
总而言之,我
浏览 1提问于2015-08-06得票数 3
1回答
这可能是个非常愚蠢的问题,但我完全是个加密新手。我不知道从哪里开始寻找这个问题的答案。
我正在使用我公司开发的专有语言构建应用程序。我正在尝试使用我的应用程序调用REST服务。此REST服务使用HMAC-SHA1 1加密令牌进行身份验证。我的意思是,我必须把一堆值放在一起,然后HMAC-SHA1 1对它们进行加密。不幸的是,我公司的语言没有用于HMAC-SHA1 1的API。它只有用于AES加密的API。
如果我使用AES来生成我的令牌,我会得到与使用HMAC-SHA1 1 API生成令牌相同的结果吗?
浏览 0提问于2016-03-08得票数 2
回答已采纳
我想从Android执行对Amazon API的rest调用。Amazon要求所有ws调用都将使用HMAC签名(基于散列的消息验证码)进行身份验证。我缺少一个类似于Apache Base64对象的对象来签署我的请求。在Android中有没有一个简单的方法可以做到这一点,或者更好的是有一个适用于Amazon web服务的Android客户端(产品广告API)。
浏览 0提问于2010-02-04得票数 3
回答已采纳
1回答
我目前处于创建web应用程序(HTML5、JS等)的早期阶段。它在后端使用REST API (Java,特别是Jersey v1.18)。将要存储的数据的性质是高度敏感的,所以安全性是我已经开始考虑的东西,即使应用程序只处于早期阶段。最终目标将是拥有原生移动应用程序,并潜在地通过相同的API为外部客户端提供对数据的访问。
到目前为止,在我的研究中,我已经确定了各种身份验证方法,包括HTTP Basic、基于令牌的、会话cookie、OAuth、HMAC等。这里的关键组件是REST API将主要由用户访问,而不是其他应用程序或后端。因此,拥有“登录/注销”等效项是很重要的,这归结为用户级身份验证
浏览 1提问于2014-03-18得票数 1
我有一个用jboss resteasy构建的jax-rs web服务层。所有web服务都使用和生成json对象。我需要保护这一层,以处理来自不同来源的请求。
通过基于表单的登录,可以通过ajax前端访问ws。因此,我需要将用户会话存储在服务器上,并在每个ws请求上检查它的存在。
此外,我想通过REST API使用某种HMAC (无OAuth)身份验证来公开web服务。
有没有人知道实现它的解决方案?如果有一个可以处理来自这两个来源的请求的集中式授权组件,那就太好了。
浏览 3提问于2012-02-23得票数 3
1回答
我有一个symfony 2.8应用程序,它将用作REST API后端
我希望为所有匹配^/api的端点添加安全性我希望能够对^/api使用3种不同的身份验证方法
我使用的是uma/psr7-hmac-bundle,server/oauth-server-bundle的朋友,APIKey身份验证。
我定义了3个不同的防火墙,如果我删除了另外两个,那么每个防火墙都可以工作。
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
浏览 3提问于2017-08-09得票数 0
我是power bi新手,我需要使用HMAC身份验证连接到web API。如何通过web请求发送HMAC身份验证头?或者如何在PowerBi查询中进行HMAC加密。 提前感谢
浏览 37提问于2020-07-06得票数 0
回答已采纳
1回答
我需要将身份验证集中到rest web服务,并使此身份验证对我们所有的web服务都相同。因此,我开始编写一个外部web服务来处理身份验证。
为了保持兼容性,由于身份验证是在单个请求(因此没有任何类型的令牌)的同时使用HMAC签名(使用私钥签名)执行的,因此我认为应该让所有web服务发送传入请求中包含的HMAC和StringToSign (用于生成HMAC的数据的表示)。
因此,授权服务可以(知道私钥)尝试组合相同的签名,如果匹配,则使用200 OK和一个显示“已授权”的JSON对象进行响应。
所有这些交流都是通过HTTPS进行的,但我正在尝试弄清楚,如果有人截获或修改这个答案,让一个403 F
浏览 0提问于2012-12-09得票数 0
回答已采纳
1回答
我正在为作为Windows服务运行的服务器应用程序构建基于Web的客户端。服务器应用程序目前有一个用C#编写的基于Windows Form的客户端应用程序,其想法是淘汰它,并提供一个新的基于网络的客户端应用程序。服务器应用程序将公开基于REST的API,而客户端应用程序将使用REST API与服务器应用程序通信。(当前服务器应用程序公开基于SOAP的终结点,这些终结点由基于Windows窗体的应用程序使用)
基于浏览器的客户端应用程序将使用Angular JS编写。客户端应用程序将由最多10个并发用户使用。该应用程序面向系统管理员,并将在企业环境中使用。
另一个要求是为客户端应用程序集成Act
浏览 0提问于2015-10-26得票数 3
1回答
保护AJAX使用的API
、、、、
我有一个REST (内置于.NET),需要由以下客户机(通过HTTPS)使用:
SPA网站(AJAX)
移动应用
一切(API,SPA网站,移动应用程序)都是内部的.
通常,对于API,我会使用基本的身份验证,但是很明显,一旦您将API打开到AJAX,安全性就会变得棘手。
关于“保护”API的说明--我主要想阻止刮刀者对API进行黑客/锤击,而且这些数据并不完全是超私有的。
以下是我想到的解决方案:
什么都不做。让它打开,但是使用节流/限速来阻止我的API被刮掉。
创建AJAX调用需要通过的中间人服务器。显然,这意味着有额外的延迟,加倍的代码-等等。
使用HMAC身
浏览 3提问于2015-03-18得票数 1
这是我第一次尝试编写Rails应用程序来使用外部web服务。
我做了一些基本的实验,通过ActiveResource从另一个rails应用程序中检索一些记录,但在这种情况下,我尝试访问一个第三方web服务,它需要非常具体的身份验证才能完成任何操作。
所讨论的服务是由DNSMadeEasy提供的REST,其文档可以位于。
根据文件规定的认证要求如下:
以HTTP格式创建当前日期和时间的字符串表示形式。2011年2月12日20:59:04格林尼治时间
使用您的秘密密钥作为哈希键计算该字符串的十六进制HMAC SHA1散列。
使用API键、当前日期和时间以及计算的HMAC哈希设置请求标头
浏览 1提问于2012-03-26得票数 2
2回答
我们正在使用RESTful构建一个WCF API (目前是WCF 3.5,但很快将转向.Net 4)。我们已经建立了一个功能框架,但它目前没有安全保障。它需要从.Net应用程序以及iOS、Android和web应用程序中访问。
我们希望使用和描述的HMAC身份验证方案,但在描述如何验证哈希时,这两个示例似乎都支离破碎。第一个示例未能描述UserKeys对象(哈希表?)第二个示例缺少客户端和服务器端的GetUserKey方法。
是否有人能解释如何在这些示例中生成/存储/检索/使用“用户密钥”/token,或者提供一个更好的示例(如果可能的话,用源代码)说明如何在RESTful WCF服务中使用H
浏览 3提问于2011-12-02得票数 12
回答已采纳
我正在用Postman测试Coinbase API端点,挑战是当我需要分页时
为了安装邮递员,我遵循了可用的指南,并总结如下:
添加变量
coinbase-api-base
coinbase-api-键
coinbase-api-机密
coinbase-api-时间戳
coinbase-api-签名
添加了预请求脚本以生成请求签名。
// 1.导入密码-js库var CryptoJS =CryptoJS=require(“CryptoJS”);// 2.创建JSON请求对象var req ={time戳: Math.floor(Date.no
浏览 5提问于2021-12-01得票数 1
我有一个新的(第一次) CentOS 6.5服务器用于一个web服务器。我们的安全小组发现了以下弱点:
SSH服务器配置为允许MD5或96位MAC算法,这两种算法都被认为是弱的。
注意,此插件只检查SSH服务器的选项,而不检查易受攻击的软件版本。
插件输出
支持下列客户端到服务器方法身份验证代码(MAC)算法
:
hmac-md5
hmac-md5-96
hmac-sha1-96
如何在MD5 6.5服务器上禁用CentOS和/或96位MAC算法?我试着运行了: authconfig --disablemd5 5 --updateall,但仍然存在相同的问题。
浏览 0提问于2013-12-24得票数 3
我正在连接一个使用HMAC身份验证的REST API服务器。已尝试使用从命令'OpenSSL dgst‘生成的哈希,该命令已成功连接/验证到服务器。
但是,在C#/.NET中使用HMACSHA256和MD5(System.Security.Cryptography)生成的代码与OpenSSL dgst外壳脚本命令生成的代码不同,并且身份验证失败
INPUT='teststring'
HMAC_KEY='ASDFGHJKL'
echo "${INPUT}" | openssl dgst -md5 -binary | openssl en
浏览 2提问于2019-05-29得票数 0
我要在PL/SQL中发出以下cURL请求:
curl -i
-H « Authorization: AUTH xxxx:1539335594582:1:HMAC »
-X GET http://example.com/api/accounts
我尝试了下面的代码。它不起作用(我得到了一个服务器错误:您的浏览器发送了一个我们无法理解的请求)。我也不确定在PL/SQL中是否正确:
URL varchar2(250);
Header varchar2(32000);
Response varchar2(32000);
URL := 'http://example.com
浏览 0提问于2018-10-12得票数 2
回答已采纳
我有一个web应用程序,我正在NodeJS上编写API。
我想测试这个使用mocha、chai和Node-rest-client的APIs,并且不打开浏览器,但是我有一个问题:“,我不知道如何在本地主机上运行服务器时设置cookie (头的授权)。
首先,在本地主机上运行服务器:3000。
接下来,运行命令api测试(将cookie设置为服务器并运行API )。
浏览 3提问于2017-05-03得票数 0
1回答
我想保护一个.NET Web服务。我将使用SSL,但我还需要限制每个用户可以根据用户的权限调用的Web调用。
据我所读,REST/HTTP应该是无状态的,所以从技术上讲,您不应该能够维护任何会话状态,但是这里有。
一种是使用。凭据随每一个请求一起发送。虽然这可能在安全性方面是好的,因为它们无论如何都是通过SSL传输的,但是考虑到每次根据数据库重新进行身份验证需要大量的开销,这实在是不切实际的。(一种可能是将它们缓存在内存中,但我怀疑这是最好的方法。)
另一种方法是使用 ()来控制对API调用的访问。在这个中有一条评论说:
为了让那些在HTTPS服务上实现这一功能的人明白:您不需要在SSL上实
浏览 5提问于2014-04-03得票数 1
回答已采纳
我有一个简单的REST API,需要从web应用程序以及从远程服务访问。
远程服务通过包含API密钥的自定义HTTP标头进行身份验证。
如何保护API,使来自web浏览器请求受到CSRF保护,但通过API密钥进行身份验证时不执行CSRF检查?或者,通常情况下,我如何为特定视图上的一些请求启用CSRF保护,而不是其他请求?
目前,我有一个装饰器,它检查API密钥的请求,并大致以这种方式验证API用户:
# Regular auth
if request.user.is_authenticated():
# DO CSRF verification, then continue calli
浏览 0提问于2014-04-16得票数 1
1回答
安全Web身份验证和API访问
、、、、
我想设计一个web应用程序,它保证安全的身份验证,并且只允许授权用户访问API。其基本思想是简单地发送用户名和密码以获得用户身份验证。用户可以使用session_id向服务器提出请求,而无需再次验证自己的身份。
当然,这是非常不安全的。但据我所知,为了不公开用户的凭据,我们可以应用TLS(https)对其进行加密。
然而,在我研究的过程中,我熟悉了许多概念,如Base64、HMAC_SHA1、API键、OAuth1.0。但我不明白为什么我们需要那些机制,而不是TLS。有人能帮助解释为什么TSL不足以确保身份验证和API访问是安全的吗?
浏览 3提问于2016-03-20得票数 1
我想将liferay集成到我现有的应用程序中,因为我想使用liferay提供的JSON web服务,大多数这些服务(在/api/jsonws中列出)都要求身份验证令牌" p_auth ",但是我在这些服务中找不到任何可以给我这个p_auth令牌的登录或身份验证方法。
我的应用程序是php,我不是java专家,所以寻找一些基于REST和/或SOAP的http方法来登录/认证。有没有办法做到这一点?
浏览 0提问于2012-12-18得票数 1
回答已采纳
1回答
在过去的几天里,我一直在玩一个简单的应用程序的想法,因为我试图教自己REST认证的基本知识。
到目前为止,我发现最好的方法是使用类似Amazon使用的HMAC实现。
我最关心的是我应该如何对用户和进行身份验证,给他们他们的私钥,这样他们才能开始对HMAC进行签名?我一直读到,用于签署HMAC的私钥不应该通过有线发送,但是他们最初是如何获得的呢?
我的想法是这样的,但我不确定这是否正确。
用户数据库表:
users (simplified, this would probably be a private key per client app?)
id (their public key?)
浏览 1提问于2013-06-30得票数 11
回答已采纳
因此,我现在正在开发一个移动应用程序,它将请求使用Django构建的REST。
为了保护API,我计划使用私有/公钥对身份验证系统。
我想出的工作流是这样的:
用户登录使用Facebook
一旦用户签名,应用程序就会生成私钥。
私钥在服务器和应用程序之间共享,以便服务器知道将私钥映射到特定用户。
每次移动应用程序发出请求时,应用程序都会使用请求参数和私钥生成HMAC/签名。除了HMAC之外,应用程序还发送发送它的用户的user_id (这将充当公钥)。
当服务器接收到请求时,它会生成自己的HMAC。它获取user_id并在表中查找私钥。使用私钥,它用请求参数重新创建HMAC
浏览 1提问于2012-08-06得票数 5
回答已采纳
1回答
我需要为跟踪费用创建一个简单的web应用程序,使用一些基本操作(用户必须能够创建一个帐户和登录、列出费用、编辑它们等等),并为每个用户创建一个REST,诀窍是我需要能够同时向网页和API传递凭据。
因此,经过一些研究,我发现了一些使用摘要身份验证和HMAC身份验证的例子,但是很多帖子也提到了OAuth作为一种替代方法,所以我的问题是,在这种情况下,使用OAuth合适吗?我的意思是,据我所知,当您想要与其他应用程序共享资源时,OAuth是合适的,而我并不是这样做的;此外,当您试图访问共享资源时,它会出现一个请求外国应用程序许可的页面,该页面会在我的应用程序的某个时候出现吗?(也许在登录之后?)
浏览 0提问于2014-06-25得票数 1
回答已采纳
1回答
当我在中托管“WCF4REST服务模板”项目(来自模板)时,我得到以下信息:
IIS指定的身份验证方案'IntegratedWindowsAuthentication,匿名‘,但绑定只支持一个认证方案的规范。有效的身份验证方案包括摘要、协商、NTLM、Basic或匿名。更改IIS设置,以便只使用单个身份验证方案。
除了将automaticFormatSelectionEnabled设置为false之外,我没有显式地更改任何配置,以便返回JSON:
<system.serviceModel>
<serviceHostingEnvironment aspNetCo
浏览 0提问于2010-08-12得票数 0
回答已采纳
你好,我正在用AngularJS做REST API客户端,使用ngResource插件和我的HMAC身份验证实现。
我编写了一个HttpIntercept服务,它拦截http请求,计算并附加带有HMAC签名的Authorization报头。但在这种实现中,它会计算签名并将其附加到所有请求,这是不好的。
.factory('authInterceptor', function($q) {
return {
request: function(request) {
#sign calculation...
浏览 0提问于2013-07-23得票数 2
我正在考虑将一个项目从单块分解到服务器端REST,再加上独立的基于web的前端(或者,任何其他第三方用户),它们可以托管在不同的服务器和域上。
我应该如何处理用户身份验证和授权?表单身份验证基本上没有了,所有调用都将以相同的方式处理到API端点,无论它们来自我们的web应用程序,还是第三方应用程序。
服务器端REST将成为网关管理员,并且只允许有条件地访问。理想情况下,我将使用标准的C# ASP.Net成员。框架将是ASPNetCore和MVC 6。
浏览 0提问于2017-06-01得票数 1
回答已采纳
2回答
我正在为REST服务开发一个API,我将同时生产和使用这个API。在过去的几天里,我一直在努力弄清楚如何很好地处理身份验证,并认为我终于想出了一些东西。
我是根据以下有关应用程序堆栈的事实提出这个问题的:
客户机和服务器在.NET4中(客户端配置文件中的客户端部分)
使用WCF REST公开服务器
我真的不想把用户名和密码保存在应用程序的内存中
从3开始,我希望使用一种令牌身份验证形式,这样在服务器验证凭据之后,客户端将获得一个令牌,以便在应用程序的其余部分使用(这将允许我做其他事情,例如超时用户,能够在web和桌面版本之间无缝移动用户等等)。在研究了如何使调用重放和抗篡改之后,我想出了以下内
浏览 0提问于2011-07-14得票数 11
1回答
嗨,我正在开发一个与OneDrive集成的wcf web服务,我需要访问使用我的web服务的用户的文件(列表、删除、下载和上传)。
有没有一种简单的使用Onedrive的方法?也许是一些C# API..。我找到了Live,但我不知道如何使用它,还有SkyNet,但我不知道如何使用它,以及它是否适用于OneDrive。
如果我不得不使用REST调用,您能解释如何使用REST对文件进行身份验证和列表吗?谢谢大家
浏览 2提问于2014-04-08得票数 2
回答已采纳
我想获得一些入门提示:
我有一个与现有Rest-API通信的Google Assistant Action (通过Http触发的Azure函数)。
此API使用6位代码调用身份验证服务,该服务返回一个长期令牌(永不过期),并且所有对Rest API的实际调用都将需要该令牌。
这个6位数的代码来自一个门户网站。可以使用登录名访问此门户。因此,这是一个仅限用户的代码,因此生成的令牌将是用户特定的。
现在,我如何在我的Google Assistant/Dialogflow中提供此身份验证服务?
我不知道如何使用Google Assistant/DialogFlow/C# azure函数来做到这一点,
浏览 0提问于2019-09-17得票数 0
我有一个小问题,我一直在努力解决一段时间。我想要连接到REST web服务,并且我有我想要使用的web服务的API密钥。我在Google REST控制台中尝试了这项服务,它工作得很好。
但是,当我尝试为它构建一个c# .net项目时,我不知道如何设置用于身份验证的API键。我从其他站点获取了以下代码:
string url = "http://Demo.company.com/Data/Values/1029/CarPart/id/"
HttpWebRequest GETRequest = (HttpWebRequest)WebRequest.Create(url);
GETR
浏览 0提问于2012-10-06得票数 1
回答已采纳
1回答
有两个服务器的SNS应用程序。Web后端服务器和REST服务器。
web服务器允许用户使用用户名/密码登录/注销,并显示用户信息。
REST服务器提供像/topics、/comments这样的API,它应该是无会话状态的。
REST将为其他web应用程序提供服务。
有一些潜在的解决方案,但安全也不是。
基本8月,浏览器保存用户名/密码
使用过期时间戳的令牌,问题是用户可能会一直停留在页面上直到令牌过期。
那么,在从AJAX中调用REST时,有没有一种保护它的方法?
浏览 4提问于2016-05-26得票数 0
我有以下场景:(客户端/浏览器) => (Web Service/Web API) => (SharePoint REST-Api)。基本上,我想实现的是让中间应用程序(WebService/Web API)充当SharePoint-REST-API的门面,以简化需要与我们的SharePoint应用程序通信的任何人的开发。(基本上,我们在Web API/Facade中将一些SharePoint-request- call封装到一个调用中)。 现在的问题是,我还希望能够将登录的Windows用户(AD- user )从客户端发送到Web服务,然后web服务应该代表该Windows用
浏览 23提问于2019-09-19得票数 2
1回答
我需要帮助。
我正在尝试通过API连接一个网站,但它请求身份验证。他们向我展示了C#的例子,但我想转换成PHP。
我使用file_get_content来获取数据。我必须如何在我的请求的HTML头中发送它们,并给出它们的名称。我是如何签名的。
有关于网站的解释。总之,你能把C#转换成PHP吗?)
API身份验证:
所有与用户帐户相关的API调用都需要身份验证。
您需要提供3参数来验证请求:
"X-PCK": API key
"X-Stamp": Nonce
"X-Signature": Signature
API key
您可以从exchang
浏览 2提问于2017-05-20得票数 0
1回答
我正在为一个公共可用的rest app服务开发一个消费者应用程序。
我有两个问题:我的代理和服务身份验证。
我似乎无法通过我的代理,实际上我确实有一个有效的凭证来通过它,但我不知道在哪里或如何提供它!
其次,我也不知道如何应对web服务发出的基本身份验证挑战……
我确实可以通过浏览器使用它,但我不能在我的c#应用程序上使用它。到目前为止,代码如下:
HttpClient cli = new HttpClient();
cli.BaseAddress = new Uri("http://myserver.com/");
HttpResponseMessag
浏览 0提问于2012-11-30得票数 1
Tl;dr:如何保护仅用于网站本身的AJAX调用的内部API。
我有一个REST (PHP7.2),它将由Javascript (客户端)使用。
通常情况下,我会构建服务器端的应用程序(然后我控制并使用一个秘密或令牌),然而,由于JS是公开的,我就迷路了。
我想要基本的auth,不能,因为用户可以查看源代码,并获得用户名和密码。
我想使用私钥,再次检查元素,密钥是可见的。
我想白名单域(PHP侧),域可以被欺骗。
我想要HMAC身份验证,但是再次检查元素并看到HMAC消息。
如何保护AJAX使用的REST?
浏览 0提问于2019-01-28得票数 0
我有一个web活动,它将数据传递给一个基于rest的API。我在多个地方使用它,并希望web活动使用一个rest链接服务,该服务配置了api的基本url和授权。
然而,Web活动只允许我选择一个链接服务引用,而我不确定这是什么。它不允许我使用链接服务url作为web活动url的基础。
有没有一种方法可以使用rest链接服务作为web活动的基本url?
浏览 2提问于2022-08-04得票数 0
可能重复:
“我正在尝试使用python进行一些OAuth身份验证,但我的oauth_signature一直被拒绝。Python 3对我来说很新,所以有人能告诉我这段代码有什么问题吗?
api_key = 'string'
api_secret = 'another_string'
sig_key = api_secret + '&' + api_key
hmac_alg = hmac.new(sig_key.encode('utf-8'), sig_base_str.encode('utf-8'
浏览 1提问于2012-12-13得票数 1
我有一个web api rest web服务。web api已配置为向azure进行身份验证。
现在,我想使用angular从网页中调用rest web服务。问题是,我如何才能获得访问令牌以便发送它?
谢谢你的帮助。
浏览 1提问于2016-02-08得票数 1
我们正在构建一个具有以下属性的应用程序:
包括未来的web应用程序、web API和移动应用程序。
web应用程序将包含HTML页面(多个功能,类似于单个页面的应用程序)
web应用程序将与web对话(使用JQuery AJAX调用使用JSON进行通信)
web应用程序+ web API不遵循标准的MVC体系结构。
需要支持SSO (将使用客户端标识提供程序)和表单身份验证
移动设备将使用相同的web API。
我的问题是,我们应该遵循什么样的方法来保护应用程序。我们正在考虑的两种方法是:
仅保护web : web应用程序纯粹是HTML,所有数据(需要安全性
浏览 2提问于2014-04-29得票数 0
1回答
我希望在Django之上实现一个公共api (编辑:相反,一个经过身份验证的API暴露在互联网上)API,而Django Rest框架似乎是一个流行的选择。我习惯使用的API通常要求请求包含一个API键、一个nonce,然后是一个HMAC。
查看身份验证页面,我发现与内置的API密钥最接近的是JSON网络令牌认证。
我想设计一个安全的API,防止窃听和重播攻击。如果我要手工实现这一点,我的本能反应将是为用户生成API密钥&秘密对,并让他们对请求签名,如下所示:
import hmac, hashlib, time
API_KEY, API_SECRET = # loaded from
浏览 0提问于2017-10-09得票数 5
回答已采纳
我有一个身份验证提供程序,它在ServiceStack中使用HMAC作为身份验证机制。
我正在使用IHttpRequest.AbsoluteUri获取Uri,但Uri不是我所期望的。由于Uri是我用于HMAC的HMAC基本字符串的核心部分,因此在我们的预生产服务器上身份验证失败。
private string BuildBaseString(IHttpRequest req, string accountCode, string username, string timestamp)
{
var methodType = req.HttpMethod;
var absolute
浏览 23提问于2015-10-15得票数 0
1回答
我相信你在堆栈溢出上见过很多类似的问题,而我也曾浏览过很多问题,但都没有找到我想要的具体答案。
因此,我的问题是:我正在开发一个面向私有的API,它将由我的移动应用程序使用,而且我很难选择特定的身份验证选项及其实现。
我读过许多文章,告诉我使用HMAC-SHA1摘要身份验证的优点,以及一些赞扬REST基于oAuth的身份验证的优点,坦率地说,这让我更加困惑,因为这是我第一次开发RESTful API。
我需要问的是,如何选择使用哪种身份验证方法以及为什么?我知道使用HMAC或摘要身份验证会在服务器上产生额外的开销,因为请求将分两个阶段处理:
客户端向服务器请求资源,
服务器用401状态
浏览 2提问于2014-05-15得票数 2
我有一个Java引导微服务,在那里我有一个管理网站和REST端点。该网站在myserver.com/serverwebpage上访问,REST web服务位于myserver.com/api/restendpoint。我使用Spring,在web端具有登录安全性和CSRF,在REST端点端使用HMAC授权。我在网站端有@Controller注释,REST web服务有@RestController注释。该网站运行良好,webservice与GET的工作良好。然而,我只是尝试删除,得到403错误:禁忌,消息:“无法验证提供的CSRF令牌,因为您的会话没有找到”。看起来MVC安全看到REST MV
浏览 0提问于2018-02-09得票数 0
回答已采纳
2回答
我们有一个有多种api类型的服务器(基于httplistener的定制XML、基于WCF的SOAP和基于WEB的REST )。我们希望将所有API都移到WEB (有很多原因),它应该是向后兼容的。
支持url结构的原因之一是服务/服务1。服务/服务2。在这种情况下,它应该在一个端口上。它是面向多个客户的intranet应用程序,应该易于部署和安装。因此,我们不能有一个长期的配置在客户端(推广和其他)。
在web上实现SOAP服务有简单的方法吗?乍一看,将httprequest解析为类型化soap信封(基于现有合同)并序列化答案应该是一种简单的方法。当然,合同中有许多操作和数据类型。
PS:我不
浏览 3提问于2016-11-30得票数 2
1回答
我正在使用C#实现一个REST web服务,它将作为一个云服务托管在Azure上。因为它是REST服务,所以它是无状态的,因此没有cookie或会话状态。
web服务只能通过HTTPS (StartSSL.com提供的证书)访问。
当用户成功登录到服务时,他们将获得一个安全令牌。此令牌将在未来通信中提供身份验证。
令牌将包含客户端的时间戳、用户ip和ip地址。
所有的通信只会发生在HTTPS上,所以我不关心被拦截的令牌并在重放攻击中使用;令牌无论如何都会过期。
由于这是一项面向公众的服务,我担心有人可以在服务中注册、登录,然后修改他们接收到的令牌以访问其他用户的帐户。
我想知道如何最好地保护令
浏览 0提问于2013-03-19得票数 21
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
