1回答
C动态链接和签名令牌的安全性
、、、、
当涉及到动态链接时,我有一个关于应用程序的安全性和完整性的问题。我想将一个应用程序与libcrypto.so一起发布给我的客户端,它可以对一些JWT令牌进行签名验证。现在,理想情况下,我希望我的客户不要“黑”我的安全(我不想让他提供自己的令牌)。让我们假设我的动态库有这样一个方法: myLib.so void verifyTok
浏览 22提问于2021-02-09得票数 1
回答已采纳
1回答
我发现,对于基于令牌的东西,如、重置密码、和帐户确认函数来说,签名的全局ID是非常棒的,我很想了解它的安全性和可用性。这种更安全的方法是在他的Rails教程中使用的。
因为Rails 4.2的包含在Rails中,所以ActiveJobs是男式的。、不同的
浏览 8提问于2016-09-14得票数 2
我有一个c# com,我使用regasm注册到注册表。我从c++ exe与这个c#动态链接库通信。我使用create instance初始化dll。当这两个组件都没有数字签名时,它是完美工作的。当对它们进行数字签名时,cocreate实例将失败。get最后一个错误显示“找不到令牌”。这发生在Win7旗舰版和PRo中,就像在xp和vista中一样。
浏览 0提问于2010-06-23得票数 2
回答已采纳
1回答
我想使用在我的服务器上验证的jwt令牌,为了存储令牌,我将令牌分成2部分--签名和有效载荷--签名存储在一个带有crsf保护的httponly samesite cookie中,并且有效负载存储在工人中(如果这不是我要存储的其他地方的一个好做法,那么它的安全性如何?我做了什么额外的事情吗?
浏览 0提问于2022-07-10得票数 0
回答已采纳
3回答
第三方软件通过SAML 2.0版提供了单点登录的功能。我查看了SAML类,但是因为我使用的是SAML3.5版本,所以这个类只生成.NET版本1.1。除此之外,我没有找到很多关于如何创建简单的SAML响应的资源。
因此,问题是:如何用C#创建一个
浏览 2提问于2013-04-04得票数 1
2回答
在OAuth2中,访问令牌通常是由授权服务器签名的JWT。假设我们将使用Ed25519来签署JWT,那么我们将有128位的安全性。但是,使用XChaCha20-Poly1305加密而不是使用签名的访问令牌呢?我们将拥有256位的安全性,访问令牌对客户端(对攻击者也是如此)是不透明的。在这种情况下,即使访问令牌被窃取(而且我们不使用类似于DPoP或受证书约束
浏览 0提问于2023-01-07得票数 2
回答已采纳
1回答
我知道静态链接和动态链接之间的区别,这不是另一个要求区别的问题(我已经看过和读过了)。我没有发现任何关于动态链接安全性的问题。
我一直在读“C语言编程专家”这本书。它有一个关于链接的很好的部分。如果我对它的理解是正确的,那么动态链接的一个缺点是安全性
浏览 0提问于2010-11-10得票数 2
回答已采纳
1回答
安全性问题:根据的说法,很多JWT库都使用令牌本身来确定签名算法。我们可以在Web / MVC 6中使用什么库?为了避免漏洞,必须在解码时指定签名算法。
如果可能的话,我们希望避免集成复杂的
浏览 2提问于2015-07-01得票数 5
回答已采纳
4回答
我读了一篇关于WCF安全实现的文章,发现有两种类型的安全:Transport Mode and Message Mode (or both)https使用SSL协议对消息进行加密...那么为什么我要添加message Security并对SSL加密的消息进行加密呢?还是我误解了什么?
浏览 0提问于2011-04-15得票数 50
回答已采纳
在Azure Active Directory B2C中验证身份验证过程中获得的ID令牌的签名时遇到问题。/#token-validation)
所以,我尝试了不同的Python 3包来尝试验证签名,它们似乎都需要JWT,这是ID令牌,以及“key”或“secret”,这是验证签名的公钥。需要明确的是,Azure Active Directory B2C ID令牌
浏览 1提问于2016-03-26得票数 1
1回答
我希望构建一个客户端服务器,WPF-WCF应用程序,它应该满足以下要求:
如果用户想使用客户端应用程序,他应该在他的计算机上安装一个特定的证书,并提供一个有效的用户名并通过一个mex端点和一个可以连接到该服务并调用其唯一的HelloWorld方法的小型客户端控制台应用程序来公开其元数据。在我开始尝试添加基于证书的安全性之前,一切都很顺利。我尝试了无数的配置组合和
浏览 1提问于2014-03-07得票数 1
回答已采纳
1回答
考虑下面的草莓应用程序,它会记住你的待办事项。用户(已通过正常方式注册)将电子邮件发送到上述域,期望保存他们的待办事项。这让我很担心,因为您可以伪造电子邮件源地址(例如,Alice发送todos@todosaver.com和伪造来自包含恶意内容的bob@gmail.com的电子邮件)。这可能就足够了,但我现在担心的是这样的一般方法:(1)通过发送用户和电子邮件来验证电子
浏览 0提问于2019-06-02得票数 3
1回答
为了在web应用程序中用个人数字签名对数据进行签名,PHP等服务器端语言可以完成整个工作,但这需要用户上传私钥,比如存储在PFX文件中,这也要求用户提交(个人)密码来解锁PFX。另一种选择是以PEM格式上传已经解锁的信息,这不需要密码,但私钥与前面的情况一样公开了很多或更多。什么
浏览 0提问于2015-03-17得票数 1
回答已采纳
我有一个定制的Azure广告B2C注册邀请流与一个单一的策略键。密钥用于签名邀请链接电子邮件中包含的令牌,然后在注册时进行验证。证书即将到期,我正在设法找出如何不影响那些没有接受邀请的用户。我们生成的id令牌有效期为1个月。
我有一个拥有当前密钥的密钥容器(B2C_1A_IdTokenHintCert)。键容器在我的自定义策略中引用。我想将更新的
浏览 15提问于2022-07-07得票数 0
回答已采纳
我正在探索使用令牌身份验证来控制Blob存储和相应的CDN数据“副本”。
令牌身份验证是一种允许您防止Azure CDN向未经授权的客户端提供资产的机制。这通常是为了防止内容的“热链接”,其中不同的网站,通常是留
浏览 2提问于2017-01-05得票数 3
根据文档,Azure容器可以设置如下:
我主要对第二个感兴趣。如果一个文件名/blob是通过动态生成的GUID (例如07as51b9-a246-421x-f3sb-a7fdeasdf5cf.png)命名的,那么有什么可行的方法可以编
浏览 0提问于2016-07-18得票数 3
1回答
我正在使用STS签名的令牌在WCF服务上实现WS-Trust安全性。我们的依赖方应用程序验证令牌中指定的证书是否与应用程序配置中指定的拇指指纹匹配。
WS中的RPs是否需要SAML签名证书的额外验证?在我的组织之外的RP会要求我的令牌签名证书由一个可信的CA签名吗?它是否也会
浏览 1提问于2014-07-11得票数 2
回答已采纳
我想知道是否有可能这样做:-我有一个带有一些html网页的blob存储。该存储是私有的。不能将我设置为公共访问。只有拥有令牌的用户才能访问它。可以使用基于SAS令牌的身份验证生成URI和查询字符串来访问单个文件,但这仅适用于1个文件。也就是说,我访问一个index.html页面,但是当我单击该页面上链接时,访问令牌不会被传递,因此我得到该子页面的403错误。
有没有可能让令牌允许所有的子页面访问?我想知道这是否可以实现。
浏览 3提问于2018-09-26得票数 1
我一直在读到,当使用Amazon进行验证和对JWT令牌进行验证时,我需要解码签名的全部内容是公钥。但是,如果是这样的话,我会认为这降低了安全性,因为有人可以更改他们的jwt,然后修改签名,而我在API端的解码将不知道其中的区别,因为我不知道私钥,而公钥是公共的,并且可以用来生成签名。
浏览 2提问于2021-12-06得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
