假设一个网站前端正在内部调用一个后端api来获取当前时间并将其显示在网页上。如何防止恶意用户监听GET请求并简单地滥用它。 我见过像JWT这样的方法,但这需要用户进行一些交互才能输入用户名和密码。在类似上面的场景中,还有什么其他方法可以保护内部api调用。
浏览 24提问于2021-11-02得票数 0
3回答
防止PEM密码提示
、、、
我正在构建一个基于Qt的应用程序,它将通过https与with服务器进行通信。设置应该允许具有本地证书和私钥的客户端身份验证。应用程序必须在没有任何用户交互的情况下运行。现在,当私钥文件被密码保护时,我遇到了一个问题:Qt API允许传递一个回调以获取密码,但通过openSSL包装器无法访问该回调</em
浏览 3提问于2013-09-27得票数 0
回答已采纳
1回答
使用同一设备登录的OTP
、、、
然而,如果我偷了某人的手机,安全优势在哪里?如果它与另一种媒体(例如桌面上的网站)一起使用,我可以理解,但是如果手机本身被发送了OTP,那么它有什么安全优势呢?特别是,我在看奥西,并想知道它给移动应用带来的价值?
浏览 0提问于2015-10-27得票数 5
1回答
我正在为一个网站工作,我希望有一个申请,以及。因此,我正在创建PHP,它将进入我的数据库,并根据调用的方法/函数提供特定的数据。我不禁纳闷:
有没有更好的方法来保护这些API不被
浏览 0提问于2012-06-04得票数 2
这不是一个原创性的问题。已经有一批文章描述了这个问题和解决方案。它们都可以追溯到.Net Framework1.1和IIS6.0的时代,对我们今天拥有的所有成员和角色提供者并没有真正的帮助。您有一个使用Windows身份验证的intranet站点,它工作得很好。你所要做的就是让用户从家里和没有基于Windows的工作站的用户访问这个网站。复制整个网站将是繁琐<em
浏览 0提问于2011-08-01得票数 2
回答已采纳
3回答
如何执行jQuery Ajax调用并在发送请求之前对调用进行身份验证?
我还没有登录,所以必须进行身份验证。安全性不是任何人都可以访问的问题,只需进行身份验证即可。这只是基本的http身份验证,您可以查看API
浏览 2提问于2010-07-30得票数 3
回答已采纳
我正在创建新的azure devops web扩展,我已经创建了通用类型的新服务连接(提供用户名和密码)。需要访问用户名和密码,并在azure devops web扩展的java脚本文件中进行rest api调用。如何在没有用户交互的情况下形成授权头?
浏览 0提问于2020-04-04得票数 0
我有一个spring引导应用程序,它提供从MySQL数据库到安卓应用程序的信息。我很难创建一个与spring启动交互的安全登录活动,让我们知道它是一个登录活动,所以当用户被授权时,应用程序可以进行它想要的任何api调用。我看到的唯一方法就是使用spring的预构建登录页面。我希望在android应用程序中创建自己的UI,只需将密码和用户名作为字符串发送,以进行授权检查。我做了一个不
浏览 0提问于2020-04-28得票数 0
我会意外地启动一个类似名称的条目的URL,并尝试登录错误的U/P。这个问题与KeePass本身无关。
我只是想知道尝试登录是否被“错误”站点记录和登录,允许站点管理员看到他们可能滥用的无关登录。
浏览 0提问于2020-03-02得票数 28
2回答
现在越来越多的网站要求新用户验证他们的“身份”,要求用户证明他/她可以使用电话号码(通常是电话号码)识别的设备。然而..。所有在线接入的超过50%现在都是使用移动设备完
浏览 0提问于2016-04-09得票数 4
因此,我使用基于API的后端来获取SPA*的实体数据。这很简单,工作也很好。回到我的时代:我曾经用简单的密钥在一个非常低的级别上加密数据。但现在的开发工具是f.e。chrome,您可
浏览 1提问于2017-12-05得票数 0
2回答
我的公司最近发现,除了用户名和密码外,我们正在记录无效的登录尝试。这些日志文件存储在多台机器上,所有团队成员都可以访问。这当然不是我们的意图(由前一支球队引进),我们已经修补了它。这种情况所造成的威胁是什么?我们应该通知用户,还是从日志中删除条目并继续前进(毕竟这些密码是无效的)?
附加问题:我怎样才能说服决策者做出正确的选择?
浏览 0提问于2015-02-09得票数 7
回答已采纳
我正在编写一个Chrome应用程序,它需要用户的授权。比如说,用户想要与网站分享一条推特,然后点击一个按钮。我将首先在Chrome存储中搜索用户对该网站的访问令牌。如果没有,我会打开一个窗口其中url是网站提供的授权API。然后,用户将输入登录信息(用户名/密码),并被重定向到由访
浏览 4提问于2013-09-14得票数 2
回答已采纳
10回答
我注意到新的gmail登录名首先询问用户名,然后确认用户名是否存在,然后询问密码输入。
这难道不违背传统的安全智慧,即不泄露用户名是否存在的信息,以阻止尝试许多可能的用户名的攻击类别吗?我猜想Google知道他们在做什么,那么这是否意味着他们有某种方式来防范传统上被认为是漏洞的漏洞呢?
浏览 0提问于2015-05-08得票数 87
有没有办法检查来自分布式客户端的web应用程序API调用?也就是说,如果我同时有一个胖客户端(比如windows forms客户端)和一个暴露HTTPS接口的服务器端web应用程序(假设用户在客户端配置中输入用户名/密码进行身份验证),有没有办法确保web应用程序接口只由我的客户端使用也就是说,防止用户“玩系统”并开发自己的脚本/应用程序来使用API</
浏览 0提问于2009-12-07得票数 0
1回答
移动应用程序认证
、、、
我已经创建了一个使用我的web的移动应用程序(所以我拥有这个应用程序和api)。为此,我使用了oauth2用户凭据授予-如:我的问题是,如何限制我的网络api
浏览 4提问于2015-09-21得票数 0
回答已采纳
我使用的在线银行需要输入您的用户名,导航到第二个页面,然后输入密码登录。如果这有什么实际的安全好处呢?
浏览 0提问于2015-04-03得票数 51
回答已采纳
我目前正在做一个全栈Web项目,现在正在研究API安全性。我已经实现了一个用户登录,然后允许客户端访问我的API的大多数路由。但也有一些不受保护的路由,可以而且必须在没有登录的情况下访问(例如,注册、登录等)。 例如,一个路由返回特定用户名或电子邮件地址是否已被另一个用户占用,并在注册过程中使用。对于有不良意图的人来说,这条公共路由将非常有助于找出哪些电子邮件地址或用户名应该尝试破
浏览 24提问于2020-10-09得票数 0
回答已采纳
在本教程的最后,作者给出了一些改进基本网络钓鱼攻击的建议。其中一个让我特别感兴趣的是:是否可以使用受害者在您的网络钓鱼页面中输入的凭据,比如Facebook或Twitter的API,并将这些凭据发送到实际服务,从而创建一个真正的会话,使受害者永远不会意识到它们被钓鱼了
浏览 0提问于2017-03-22得票数 3
我在我的.NET应用程序(Windows Service)中使用Microsoft Graph SDK通过Graph API检索Outlook日历计划。在这里,我使用用户名密码流进行身份验证(尽管不推荐这样做),而且它工作正常。当我做一些测试时,我能够执行SSO登录流程,并且我能够检索日历计划。但我不知道的是,在没有任何用户交互的情况下,重定向和所有操作是如何
浏览 3提问于2021-09-10得票数 1
云服务器
ICP备案
云直播
腾讯会议
实时音视频
腾讯云开发者
