高效、安全的cookie身份验证和使用

文章/答案/技术大牛

发布

1回答

cookies、coldfusion、coldfusion-2018

目前我的重点是登录功能，特别是如何存储和使用cookies。我们最近在Windows上升级到CF 2018。 /> 此cookie中包含多个用户权限，将用户标记为能够访问站点

浏览 14提问于2020-03-04得票数 3

1回答

Safari上的Lighttpd mod_auth身份验证困难(iPad和iPhone)

lighttpd、ipad、safari、mod-auth

我已经在我的嵌入式设备上设置了lighttpd，并配置了lighttpd.conf中的模块，当从Chrome或火狐从PC访问网页时，我会被要求提供用户名和密码，并在我提供页面加载之后。当我在iPad或iPhone浏览器上做同样的操作时，我也会得到身份验证对话框，但是由于某种原因，它会反复弹出。使用我能够看到的mod_accesslog模块，iPad仍然发出请求而不使用身份验证，这会导致某些请求的HTTP 401： 1

浏览 0提问于2012-02-09得票数 3

1回答

如何处理身份验证令牌

c#、.net、azure、azure-mobile-services

我有一个API移动服务，处理用户的登录和验证。如果用户被验证，那么它会产生一个身份验证令牌。在我的终端上，我有一个Web客户端，它接收该令牌并使用它调用不同的Api控制器。处理这个问题的最佳方法是什么？不好意思问这个问题，但我以前从来没有做过这种设置。

浏览 3提问于2015-04-08得票数 0

回答已采纳

1回答

是否有必要在web应用程序中使用表单身份验证？

asp.net、forms、security、authentication

我们正在开发一个股票市场交易的asp.net网络应用程序。我们需要一个高安全性的应用程序。不使用forms auth安全吗？使用ssl、httponly cookies和阻止xss实现安全应用程序就足够了吗？在表单身份验证中，有会话cookie和身份验证cookie。用表单身份验证来破解web app有什么不同？

浏览 2提问于2014-11-27得票数 1

1回答

网站从零开始和安全威胁

security、web

网站上的安全威胁使从scatch中获得。此外，在网站的开发、维护和管理过程中，还会出现其他问题(除了安全问题)。

浏览 3提问于2014-07-26得票数 0

1回答

带有其他框架的金字塔AuthTktAuthenticationPolicy

python、authentication、twisted、comet、pyramid

我需要在Twisted服务器上使用来自金字塔的AuthTktAuthenticationPolicy授权的身份验证cookie，这样我才能高效地执行长轮询。有没有办法允许Twisted服务器解码来自金字塔的身份验证cookie？

浏览 0提问于2013-03-10得票数 1

3回答

JWT令牌是否应该存储在cookie、标头或正文中？

tls、authentication、cookies、jwt

存储、传输和存储JWT令牌或一般身份验证令牌的最安全方法是什么？有人告诉我，将身份验证令牌作为cookie发送是安全的，但我不明白这将如何提供任何额外的安全性，只需使用普通的会话ID cookie进行身份验证，因为浏览器将包括所有传出请求的cookie。对我来说更有意义的是，如果令牌将存储在响

浏览 0提问于2016-07-20得票数 12

2回答

在使用基于Cookie的基于REST的后端时在AngularJS中进行身份验证？

javascript、angularjs、node.js、rest、cookies

我正在使用AngularJS，NodeJS和一个应用服务器，它为我提供了所有基于REST的服务。典型的架构如下：现在的问题是，我将cookie传递给和Fro来管理请求和响应。但我怀疑这不是管理应用程序身份验证和授权的正确方法。我想要一个关于如何最好地维护会话的建议，其中我的基于REST的服务器为我提供cookie(JSESSIONID)

浏览 0提问于2015-07-24得票数 2

1回答

为什么FormsAuthentication的requireSSL属性的默认值为false！

security、cookies、asp.net-membership、requiressl

ASP.NET窗体身份验证具有属性，该属性要求只通过SSL发送用于ASP.NET成员资格的auth cookie。这是为了防止某人窃取cookie (例如通过网络嗅探)和冒充用户。因此，我想知道--考虑到MS所做的所有安全意识的更改(比如使默认)，为什么requireSSL不默认为true呢？饼干嗅探被认为是“消极的”安全风险吗？若要防止跨网络时捕获和篡改窗体身份验证co

浏览 1提问于2009-11-06得票数 3

回答已采纳

1回答

是否可以使用单个cookie处理整个身份验证和授权？

asp.net、cookies

我习惯于使用包含用户id的单个cookie进行身份验证和授权。在每个页面上，我都会检查这个用户id是否存在。使用存储在客户端的单个cookie值处理整个用户身份验证和授权是否安全？我想要基于与我的方法相关的安全问题的答案。我的网站会很容易被黑客入侵吗？

浏览 2提问于2014-02-17得票数 0

2回答

仅使用会话状态进行身份验证(无窗体身份验证cookie)

asp.net、asp.net-mvc、session、authentication、forms-authentication

我有一个与安全有关的问题。有没有可能在不使用浏览器中存储的表单身份验证和表单身份验证cookie的情况下，通过会话变量实现身份验证和授权？谢谢

浏览 0提问于2014-05-21得票数 0

2回答

使用forms身份验证的安全风险是什么？

.net、asp.net、security

专家们，我们希望为将来的项目提供更安全的登录系统，而不是使用会话状态来判断用户是否已登录。如果我的理解是正确的，那么一旦用户通过forms身份验证进行了身份验证，就会在用户的计算机上生成cookie。这有多安全？cookie是否容易受到类似于会话劫持的某种形式的劫持？如果用户不接受cookie怎么办？有没有更好的</e

浏览 1提问于2011-05-11得票数 3

回答已采纳

1回答

FormsAuthentication.FormsCookiePath

c#、asp.net、security、authentication、forms-authentication

Q1我读到在设置身份验证cookie的超时时，我们应该记住cookie存在的时间越长，cookie被窃取和误用的可能性就越大。A)但假设我们通过为整个应用程序启用SSL来保护应用程序免受重放攻击，并且由于forms身份验证模块还加密身份验证cookie中的身份验证数据，那么我认为该cookie不会被误用，因此cookie保存较长

浏览 0提问于2009-05-18得票数 1

回答已采纳

1回答

是否需要在用户登录后保持HTTPS (SSL)状态，即使数据不敏感？

asp.net、ssl、https

我有一个网站，用户可以张贴广告和查看他们。我正在使用ASP.net构建它。因此，通常网站是免费的，以查看广告。但如果有人想发布广告，他或她需要成为注册用户。因此，我想为登录页面启用SSL，以便在互联网上安全地传输信息。我只需要保护用户名和密码。用户发布的广告不是敏感数据。所以如果它通过非安全路径传输也是可以的。我不能只保护登录页面以验证用户身份，然后再使用普通页面吗？请记住，我需要保留

浏览 0提问于2015-02-16得票数 0

1回答

理解cookie域与顶层域及其子域的关系

security、cookies、xss、single-sign-on、vbulletin

我有一个包含两个子域的域: www.domain.com和secure.domain.com (使用ssl)。在我看来，有两种方法可以做到：使用www.domain.comOnly的和成功的身份验证之后，只将cookie域分别设置为子域，例如.www.domain.com和.secure.domain.com，这样secure.domain.com cookie就不会被发送给攻击者，以防受到入侵，

浏览 2提问于2011-08-15得票数 1

回答已采纳

3回答

我的Web应用程序能实现用户登录并保持无状态吗？

web-applications、session、cookies、authentication

我们有一个无状态的web应用程序。我们在SSL/TLS上使用http身份验证。用户的浏览器大概是在存储身份验证凭据(即使是在浏览器关闭之后，如果他们这样配置浏览器的话)。由于主要与可用性有关的原因，我们希望停止使用http身份验证。是否有合理的方式实现用户登录和不要求用户在每次访问时重新键入凭据。至少与SSL/TLS上的http身份验证一

浏览 3提问于2010-07-21得票数 8

1回答

在背景中，NSURLSession为什么丢失了安全cookie？

ios、nsurlsession、nsurlrequest

我正在开发一个登录到HTTPS网站的应用程序。认证后，网站会发送一个标记为“安全”的最终cookie。当我将应用程序中的一行更改为使用backgroundSessionConfigurationWithIdentifier()时，我无法通过身份验证阶段。我确实得到了一个网页，显示我已通过身份验证，但随后的请求返回登录页面。在共享cookie存储中似乎不存在“身份验证成功cookie</em

浏览 4提问于2016-03-29得票数 4

回答已采纳

3回答

会话与Cookie身份验证

authentication、web-application

我指的是这两个人：Cookie身份验证:存储在由HMAC保护的cookie中的“通过身份验证”的状态。问:从安全的角度来看，一种方式与另一种方式相比有什么好处吗？附加音符假设你告诉我<em

浏览 0提问于2015-07-06得票数 6

1回答

PHP / Symfony2中的每个用户两次会话

php、symfony

我正在使用Symfony2，但这可能只是一个PHP问题。根据我的理解(如果我错了，请更正)，如果我将会话cookie设置为安全，则cookie只在安全连接上发送。一个用于存储不安全的会话数据的协议(例如，不是用户身份验证/登录)和第二个会话将是安全的，并处理登录授权。我知道我可以为奇怪的非安全问题设置一个本地<e

浏览 3提问于2013-03-23得票数 2

回答已采纳

2回答

Grails是如何在自定义身份验证上触发安全rememberMe的？

facebook-graph-api、grails、spring-security、oauth-2.0、grails-plugin

我使用grails spring安全和自定义的auth方法进行facebook身份验证： ...当我在浏览器中检查cookie时，我可以看到当浏览器会话关闭时，cookie仅当我使用插件中的默认登录/身份验证操作时，才会设置持久rememberMe cookie。我必须更改什么，才能使使用自定义身份验证方法登录<

浏览 2提问于2012-12-30得票数 1

回答已采纳

点击加载更多