关键词:
【中文标题】我应该在摘要领域内协商 OAuth2 身份验证吗?【英文标题】:Should I negotiate OAuth2 auth inside digest realm? 【发布时间】:2012-07-17 03:53:05 【问题描述】:我可能混淆了一些概念,但我一直在 web2py Google Group 上讨论他们应该实现摘要身份验证。
对于 OAuth2,我认为 auth-key 应该被散列并且只在身份验证领域内发送。
如果有什么不同,我使用 JavaScript 客户端,接口使用 JSONRPC 服务器端公开,OAuth2 使用 Facebook。
我应该在摘要领域内协商 OAuth2 吗?
【问题讨论】:
【参考方案1】:您把事情搞糊涂了——OAuth 中没有摘要领域的概念。也没有“身份验证密钥”之类的东西。 您拥有的是一个 auth-token,它代表您已由用户/实体颁发的声明。
由于令牌代表 [client_id, user, scope, expiration] 元组,它不能用于生成哈希,因为该哈希将无用 - 资源服务器无法对所有可能的组合进行哈希以找到匹配项。
如果您想要传输安全,只需使用 SSL(不考虑使用有效证书的中间人攻击等)。
也就是说,当攻击者已经能够拦截您的流量时,使用摘要保护凭据(令牌)是毫无用处的......
此外,为 OAuth2 背后的故事添加一些内容 - 它之所以如此简单(依靠 SSL 进行保护)是因为几乎每个人都可以管理。
事情越复杂,出错的几率就越高。
【讨论】:
具有讽刺意味的是,当前版本的 OAuth2 处于不再“简单”的状态,并且变得容易出错:(我可以在摘要身份验证中使用已经 MD5 编码的密码吗
】我可以在摘要身份验证中使用已经MD5编码的密码吗【英文标题】:CanIuseanalreadyMD5encodedpasswordinDigestAuthentication【发布时间】:2010-11-1810:36:12【问题描述】:我在一个数据库中有密码的MD5哈希值,我想将其用于HTTPAUTHDIGEST。但是... 查看详情
如何在 Golang 中使用摘要身份验证进行 HTTP POST?
...要式身份验证的GerritAPI。在阅读了一些内容后,我知道我应该发出一个请求,得到一个401,然后使用领域和随机数以及其他标头,然后使用MD5创建实际的请求身份验证。我在摘要上 查看详情
如何覆盖 Apache 的摘要身份验证
】如何覆盖Apache的摘要身份验证【英文标题】:HowdoIoverrideApache\'sDigestAuthentication【发布时间】:2011-10-2415:47:11【问题描述】:我的乘客前面是Apache。我正在尝试有选择地对我的URL进行摘要身份验证。我有以下情况。位置/需要在... 查看详情
使用 Zombie.js 进行摘要式身份验证
...论】:下次不要在“答案”部分下的帖子中添加cmets。您应该编辑原始帖子,输入“EDIT”,然后是您的cmets 查看详情
如果没有 OpenID/Oauth2 等广泛使用的标准,我可以只使用 JWT 进行身份验证吗?
】如果没有OpenID/Oauth2等广泛使用的标准,我可以只使用JWT进行身份验证吗?【英文标题】:CanIuseonlyJWTforauthenticationwithoutwidelyusedstandardslikeOpenID/Oauth2?【发布时间】:2021-09-1405:01:30【问题描述】:我正在编写RestApi和SPA。我想要对... 查看详情
使用 jQuery 可以进行摘要身份验证吗?
】使用jQuery可以进行摘要身份验证吗?【英文标题】:IsDigestauthenticationpossiblewithjQuery?【发布时间】:2011-07-1408:59:33【问题描述】:我正在尝试发送需要HTTPDigest身份验证的请求。在jQuery中可以使用Digest吗?如果是这样,这是否接... 查看详情
在 PowerShell 中,我应该使用哪种身份验证方案?
】在PowerShell中,我应该使用哪种身份验证方案?【英文标题】:InPowerShell,whichauthenticationschemeshouldIuse?【发布时间】:2017-12-1707:26:14【问题描述】:使用PowerShell远程处理(例如使用Invoke-Commandcmdlet)时,需要身份验证方案。选项... 查看详情
oauth2 资源服务器是不是应该询问身份验证服务器上的 Userinfo 端点
】oauth2资源服务器是不是应该询问身份验证服务器上的Userinfo端点【英文标题】:Shouldoauth2ResourceServerInterrogateUserinfoEndpointonAuthenticationServeroauth2资源服务器是否应该询问身份验证服务器上的Userinfo端点【发布时间】:2020-01-1318:35:4... 查看详情
我应该在颤振中使用 bloc 进行 Firebase 身份验证吗?
】我应该在颤振中使用bloc进行Firebase身份验证吗?【英文标题】:ShouldIuseblocforthefirebaseauthenticationinflutter?【发布时间】:2021-12-3118:55:05【问题描述】:我正在开发一个颤振的移动应用程序,我想知道我是否需要bloc状态管理来进... 查看详情
当我完全信任依赖方时,为啥我应该遵循 Oauth2.0 和 OpenID Connect Protocole 而不是仅使用 JWT 的基本身份验证?
】当我完全信任依赖方时,为啥我应该遵循Oauth2.0和OpenIDConnectProtocole而不是仅使用JWT的基本身份验证?【英文标题】:WhyshouldIfollowOauth2.0andOpenIDConnectProtocoleinsteadofbasicauthenticationwithjustaJWTwhenIfullytrusttherelyingparty?当我完全信任依赖... 查看详情
JaaS 可以用于 Rest 吗?
...如果是,与基本/摘要身份验证+ssl相比有什么优势吗?我应该在基本/摘要身份验证上使用jaas来提供我的休息服务吗?【问题讨论】:【参考方案1】:是的,您可以使用JAAS来保护REST(或任何其他类型)服务....只要您 查看详情
KeyCloak 应该用作我的用户的身份验证服务器吗?
】KeyCloak应该用作我的用户的身份验证服务器吗?【英文标题】:KeyCloakshouldbeusedasauthserverformyusers?【发布时间】:2018-03-0906:33:27【问题描述】:所以我想在所有使用身份验证服务器的产品中进行单点登录,但这不仅适用于员工,... 查看详情
自定义摘要身份验证
】自定义摘要身份验证【英文标题】:CustomDigestAuthentication【发布时间】:2011-03-1809:01:08【问题描述】:我已经制作了一个用于摘要认证的Http模块。在服务器上,对于页面的每个请求,此模块都会检查是否存在“身份验证”标头... 查看详情
WCF 身份验证
...ClientCredentialType并且我只需要wcf身份验证来确保安全,我应该担心证书和https吗?【问题讨论】:这个问题对托管也很重要,如果服务都在同一个防火墙内并且无法从外部访问,那么您就不需要SSL。但我永远不会创建不使用S 查看详情
有人使用带有 OAuth2.0 身份验证系统的 node.js 吗? [关闭]
】有人使用带有OAuth2.0身份验证系统的node.js吗?[关闭]【英文标题】:Isanyoneusingnode.jswithanOAuth2.0authenticationsystem?[closed]【发布时间】:2011-05-0620:33:56【问题描述】:是否有用于Node.js的OAuth2.0库,它正在(或计划使用)在实时生产... 查看详情
PHP 在摘要身份验证后获取 wsdl
】PHP在摘要身份验证后获取wsdl【英文标题】:PHPgetwsdlbehinddigestauthentication【发布时间】:2016-04-0115:15:02【问题描述】:我必须获取一个需要摘要式身份验证的SOAPWSDL文件。当我写我的\\SoapClient($wsdl)我得到\'403:Accessdenied\'错误。我... 查看详情
Oauth2 身份验证失败
】Oauth2身份验证失败【英文标题】:Oauth2authenticationfailed【发布时间】:2016-04-2711:30:12【问题描述】:我正在尝试在我的应用程序(客户端)中使用springOAUTH2sso,并安装了一个oauth2提供程序。在oauth2提供程序中配置客户端并在客... 查看详情
在 mysql 中使用加密存储密码进行摘要身份验证
】在mysql中使用加密存储密码进行摘要身份验证【英文标题】:Digestauthenticationwithencryptedstoredpasswordinmysql【发布时间】:2014-07-2117:40:47【问题描述】:我想在我的网站上实施摘要认证。但是,我有一个带有加密用户表的用户表。... 查看详情