我正在使用Windows Vista,但我无法使用新创建的用户登录.

1. 我打开SQL Server Management Studio.
2. 我通过右键单击Security-> Logins来创建一个新的Login.
   检查:SQL Server身份验证
   登录名:tester
   密码:test
   单击"确定"
3. 我将此用户添加到用户映射到我选择的数据库.
4. 单击File - > Connect Object Explorer,选择SQL Server Authentication并输入tester/test并单击Connect.

我收到一个错误:

Login failed for user 'tester'. (Microsoft SQL Server, Error: 18456" 
with Severity = 14 and State = 1.

导致此错误的原因是什么？如何使用我的用户登录？

概观

我正在寻找为我的应用程序创建(REST)API.初始/主要目的是供移动应用程序(iPhone,Android,Symbian等)使用.我一直在研究基于Web的API的身份验证和授权的不同机制(通过研究其他实现).我已经掌握了大部分基本概念,但我仍在寻找一些领域的指导.我想做的最后一件事就是重新发明轮子,但我找不到任何符合我标准的标准解决方案(不过我的标准是我的误导,所以也可以随意批评).此外,我希望API对于使用它的所有平台/应用程序都是相同的.

OAuth的

我会继续向oAuth抛弃我的反对意见,因为我知道这可能是第一个提供的解决方案.对于移动应用程序(或更具体地说是非Web应用程序),离开应用程序(转到Web浏览器)进行身份验证似乎是错误的.此外,没有办法(我知道)浏览器将回调返回给应用程序(特别是跨平台).我知道有几个应用程序可以做到这一点,但它只是感觉不对,并且在应用程序用户体验中取得了突破.

要求

1. 用户在应用程序中输入用户名/密码
2. 每个API调用都由调用应用程序标识.
3. 开销保持在最低限度,auth方面对开发人员来说非常直观.
4. 该机制对于最终用户(他们的登录凭证未公开)以及开发人员(他们的应用程序凭证未公开)都是安全的.
5. 如果可能,不要求https(绝不是硬性要求).

我目前对实施的看法

外部开发人员将请求API帐户.他们将得到一个apikey和apisecret.每个请求至少需要三个参数.

• apikey - 在注册时交给开发人员
• timestamp - 兼作给定apikey的每条消息的唯一标识符
• hash - 时间戳的哈希值+ apisecret

需要apikey来识别发出请求的应用程序.时间戳的作用与oauth_nonce类似,可以避免/减轻重放攻击.哈希确保请求实际是从给定apikey的所有者发出的.

对于经过身份验证的请求(代表用户完成的请求),我仍然未决定使用access_token路由或用户名和密码哈希组合.无论哪种方式,在某些时候都需要用户名/密码组合.因此,当它发生时,将使用几条信息(apikey,apisecret,timestamp)+密码的散列. 我喜欢这方面的反馈. 仅供参考,他们必须首先对密码进行哈希处理,因为我没有在没有散列的情况下将密码存储在我的系统中.

结论

仅供参考,这不是要求如何构建/构建API,一般只是如何仅在应用程序内处理身份验证和授权.

随机思考/奖金问题

对于只需要apikey作为请求的一部分的API,如何防止apikey所有者以外的其他人能够看到apikey(因为明确发送)并过多地请求推送它们超过使用限制？也许我只是在想这个,但是不应该有一些东西需要验证是否已向apikey所有者验证了请求？在我的情况下,这是apisecret的目的,它不会被显示/传输而不被散列.

说到哈希,md5和hmac-sha1怎么样？当所有值都用足够长的数据(即apisecret)进行散列时,这真的很重要吗？

我之前一直在考虑为用户密码哈希添加每用户/行盐.如果我这样做,应用程序如何能够在不知道使用的盐的情况下创建匹配的哈希？

我在我的CentOS服务器上安装了PostgreSQL 8.4,并从shell连接到root用户并访问PostgreSQL shell.

我在PostgreSQL中创建了数据库和用户.

尝试从我的PHP脚本连接时,它显示我的身份验证失败.

如何创建新用户以及如何为特定数据库授予权限？

有人可以给我一步一步描述基于cookie的身份验证的工作原理吗？我从未做过涉及身份验证或cookie的任何事情.浏览器需要做什么？服务器需要做什么？按什么顺序？我们如何保证安全？

我一直在阅读有关不同类型的身份验证和关于cookie的信息,但我想要了解如何将两者结合使用的基本描述 - 我只是读到它们经常一起使用但却找不到如何使用的描述.

对于那些在Go中构建RESTful API和JS前端应用程序的人,您如何管理身份验证？您使用的是任何特定的库或技术吗？

我很惊讶地发现这个问题很少.我记得下面的答案,我试图避免开发自己的实现:

ASP.Net中的身份验证表单

每个人都分别编写自己的解决方案吗？

摘要和基本身份验证有什么区别？

初学者程序员在这里,请原谅无知和解释会非常好:)

我曾尝试阅读某个OAuth 2.0服务的教程,但我不理解这个重定向URI ...在我的特定上下文中,假设我正在尝试构建一个使用OAuth 2.0进行某些服务的iPhone应用程序.我有一个生成的应用程序ID,但我需要提供某种重定向URI来生成API密钥.

这是一个我应该在某处自己托管的网址吗？顾名思义,我认为重定向URL应该在某个地方"重定向"某人.我唯一的猜测是,这是用户登录服务后重定向到的URL.

但是,即使这个假设是正确的,我也不明白另一件事 - 在我将应用程序发送到浏览器进行用户登录后,我的应用程序如何再次打开？

如果我想存储要在Android应用程序中使用的用户名和密码,那么最好的方法是什么？是通过首选项屏幕(但如果用户错过了该怎么办？),或弹出一个对话框并询问用户凭据？如果是这样,我必须维护应用程序的状态.我该怎么做？

我正在尝试使用JWT为我的RESTful API实现无状态身份验证.

AFAIK,JWT基本上是在REST调用期间作为HTTP头传递的加密字符串.

但是,如果有一个窃听者看到了请求并窃取了令牌呢？那么他能用我的身份伪造请求吗？

实际上,这种关注适用于所有基于令牌的身份验证.

怎么预防？像HTTPS这样的安全渠道？

当我使用Git克隆带有HTTP和用户密码的远程存储库时,是否可以在Windows上使用.netrc文件？