Autenticação é o ato de uma entidade provar sua identidade para outra entidade. Exemplos comuns envolvem criptografia de chave pública. Por exemplo, provar que um site bancário realmente pertence ao banco que você pensa que pertence.
Quero expor um recurso na web. Quero proteger esse recurso: garantir que ele seja acessível apenas a certos indivíduos. Eu poderia configurar algum tipo de autenticação baseada em senha . Por exemplo, eu só podia permitir o acesso ao recurso por meio de um servidor Web que verifica as solicitações...
A impressão digital do navegador é um método suficiente para identificar exclusivamente usuários anônimos? E se você incorporar dados biométricos como gestos do mouse ou padrões de digitação? Outro dia, encontrei o experimento Panopticlick, o EFF, que estava sendo executado nas impressões digitais...
Não consigo entender o motivo para tornar publicamente as reivindicações / carga útil de um JWT após a decodificação da base64. Por quê? Parece que seria muito mais útil criptografá-lo com o segredo. Alguém pode explicar por que ou em que situação manter esses dados públicos é...
Eu li sobre autenticações e fiquei confuso sobre a classificação de tipos. Vamos começar pela autenticação baseada em cookies. Se eu entendi direito, o ponto principal é que todos os dados, necessários para a autenticação do usuário, são armazenados em cookies. E esta é minha primeira confusão:...
Para o meu trabalho, temos um bom serviço web RESTful que construímos que usamos para dirigir alguns sites que temos. Basicamente, o serviço da web permite criar e trabalhar com tíquetes de suporte, e o site é responsável pelo front-end. Quaisquer solicitações de serviço da web usam um cabeçalho de...
Eu tenho o Windows 10 com o Git instalado. Este Git usa meu C:/Users/MyNamediretório como diretório HOME e o /.ssh/diretório interno, apropriadamente para obter minhas chaves SSH privadas. Acabei de ativar e configurar o "Bash no Ubuntu no Windows" (que bocado!) E instalei o Git também. Gostaria...
Estou usando tokens JWT em cabeçalhos HTTP para autenticar solicitações para um servidor de recursos. O servidor de recursos e o servidor de autenticação são duas funções de trabalho separadas no Azure. Não consigo decidir se devo armazenar as reivindicações no token ou anexá-las à solicitação /...
Estou criando uma API RESTful que usa tokens JWT para autenticação do usuário (emitidos por um loginnó de extremidade e enviados em todos os cabeçalhos posteriormente), e os tokens precisam ser atualizados após um período fixo de tempo (invocando um renewnó de extremidade, que retorna um token...
Quando uma API exige que um cliente se autentique, eu vi dois cenários diferentes usados e fico imaginando qual caso devo usar para a minha situação. Exemplo 1. Uma API é oferecida por uma empresa para permitir que terceiros se autentiquem com um token e um segredo usando HTTP Basic. Exemplo 2....
Estou projetando uma API REST usando autorização / autenticação por meio de uma chave de API. Tentei descobrir qual é o melhor lugar para isso e descobri que muitas pessoas sugerem o uso de um cabeçalho HTTP personalizado, como ProjectName-Api-Key, por exemplo: ProjectName-Api-Key: abcde mas...
Acabei de ler este artigo, que tem alguns anos, mas descreve uma maneira inteligente de proteger suas APIs REST. Essencialmente: Cada cliente possui um par de chaves pública / privada exclusivo Somente o cliente e o servidor conhecem a chave privada; nunca é enviado por fio Com cada solicitação,...
Estou iniciando um novo projeto em breve, que tem como alvo aplicativos móveis para todas as principais plataformas móveis (iOS, Android, Windows). Será uma arquitetura cliente-servidor. O aplicativo é informativo e transacional. Para a parte transacional, eles precisam ter uma conta e efetuar...
Planejamos refatorar o sistema da empresa em um sistema baseado em microsserviço. Esses microsserviços serão usados por nossos próprios aplicativos internos da empresa e por parceiros de terceiros, se necessário. Um para reserva, outro para produtos etc. Não temos certeza de como lidar com...
Estou desenvolvendo um aplicativo que suporta muitos usuários. O problema é que não consigo descobrir como autenticar o cliente / usuário. Estou criando um aplicativo como http://quickblox.com/, onde darei credenciais aos meus usuários e eles os usarão para criar N aplicativos nos quais não...
Entendo a PKI razoavelmente bem do ponto de vista conceitual - ou seja, chaves privadas / chaves públicas - a matemática por trás delas, uso de hash e criptografia para assinar um certificado, Assinatura digital de transações ou documentos etc. Também trabalhei em projetos em que openssl As...
Estou lendo sobre autenticação / autorização em aplicativos da web. Alguém poderia confirmar / corrigir meu conhecimento atual? Cookies: na versão inicial, um arquivo de texto com um ID de cliente exclusivo e todas as outras informações necessárias sobre o cliente (por exemplo, funções) Sessão:...
Preciso de algumas idéias sobre como proteger uma chave de API privada em um aplicativo, especificamente em um aplicativo ac # .NET. Em primeiro lugar, entendo que é teoricamente impossível ocultar qualquer coisa no código-fonte, então tive outra idéia, mas não tenho certeza de quão plausível é....
Desejo implementar um serviço de autenticação mais robusto e jwté uma grande parte do que quero fazer, e entendo como escrever o código, mas estou com um pouco de dificuldade para entender a diferença entre as reivindicações isse as reservadas aud. Entendo que aquele define o servidor que está...
É um excesso de engenharia se eu adicionar proteção contra as ações intencionais de um usuário (para dizer o mínimo), se o dano que o usuário pode incorrer não está relacionado ao meu código? Para esclarecer, estou expondo um serviço JSON RESTful simples como este: GET /items - to retrieve list...
Hoje, recebi uma pergunta do meu gerente, perguntando-me o que é considerado um design aceitável para autenticação de um aplicativo de formulário da web, especialmente no que diz respeito à natureza de muitos navegadores populares, para "Lembrar senha" nos campos de login típicos de senha de nome...