我尝试了解 Shibboleth 身份验证的工作原理。用户必须提供什么才能进行身份验证？是登录名和密码吗？如果是这样，这是唯一的选择吗？如何为新用户创建新的登录名/密码？如果某些用户在其组织内已经拥有一些登录名/密码怎么办？我在哪里可以阅读一些涵盖使用 Shibboleth 进行身份验证的实际方面的“高级”教程？

回答这个问题：在Android应用程序中存储用户设置的最合适的方式是什么，如果我在共享首选项中存储身份验证令牌，使用私有设置，服务器应该如何处理这个令牌？那是，

（1）token的有效期应该是多长？

(2) 如何确保其他设备不会尝试使用此令牌？

我已Authorization在我的 Auth0 帐户中安装了该扩展程序，因此授权功能可以完美运行，但现在我想访问我在该授权扩展程序中创建的所有组。因此，我遵循了授权文档，但是当我使用为其生成的令牌时，它会403: Insufficient scope在响应中抛出错误。

这些是我经历过的步骤：

1.请求令牌：

 curl -X POST \
  https://my_domain.auth0.com/oauth/token \
  -H 'cache-control: no-cache' \
  -H 'content-type: application/json' \
  -d '{
    "client_id":"auth0-authorization-extension-api-client-id",
    "client_secret":"auth0-authorization-extension-api-secret",
    "audience":"urn:auth0-authz-api",
    "grant_type":"client_credentials"
}'

回复：

{"access_token":"encoded_access_token","expires_in":86400,"token_type":"Bearer"}

Run Code Online (Sandbox Code Playgroud)

2.请求组列表：

 curl -X GET \
  https://domain.us.webtask.io/some_hash/api/groups \
  -H 'authorization: Bearer access_token'

回复：

{
  "statusCode": 403,
  "error": "Forbidden",
  "message": "Insufficient scope"
}

Run Code Online (Sandbox Code Playgroud)

我正在阅读 Kafka 文档（版本 0.11.0），我希望根据其客户端证书对消费者和发布者的主题进行身份验证和授权。

它的工作方式应该是根据 DN 或仅其一部分（如 CN、电子邮件或其他内容）授予授权。

我发现 Kafka 代理可以配置为通过 TLS 使用安全通信，并根据客户端证书对传入连接进行身份验证。但从我的角度来看，就是这样。这就是 Kafka 代理可以使用客户端证书执行的所有操作。主题的 ACL 应使用 SASL，其中我们可以使用 PLAIN、Kerberos 或 SCRAM。

那么是否可以根据 SSL 证书中的 CN 名称来验证客户端的连接，并将基于它的主题的 ACL 设置放入 Kafka (kafka_2.11-0.11.0.1) 中？

我正在为我的其余 api 使用以下 swagger 依赖项：

<dependency>
    <groupId>org.apache.cxf</groupId>
    <artifactId>cxf-rt-rs-service-description-swagger</artifactId>
    <version>3.2.6</version>
</dependency>
<dependency>
    <groupId>org.webjars</groupId>
    <artifactId>swagger-ui</artifactId>
    <version>3.17.6</version>
</dependency>

现在我正在为我的项目添加安全性。如何实现使用 swagger 的 api 的可能性？

我可以为每种方法设置@HeaderParam(HttpHeaders.AUTHORIZATION)- 但我想有更好的方法吗？

假设我们的模型策略中有操作，可以false在许多不同的场景中返回：

class PostPolicy
{
    public function publish(User $user, Post $post)
    {
        if ($post->user_id !== $user->id) {
            return false;
        }

        return $post->show_at->lessThan(now());
    }
}

正如您所看到的，我们在两种情况下拒绝该用户的发布权：如果这不是他的帖子，或者如果该帖子是为尚未到期的某个未来日期提前准备的。

我如何提供一些有关授权失败原因的背景信息？是因为我们不是所有者还是因为还没有到发表这篇文章的时候？

$user->can('publish', $post); // if this returns false we don't know
                              // what caused authorization to fail.

看起来 Laravel 的政策在设计上没有任何办法做到这一点。但我很好奇可能有哪些解决方法，以便我们可以在一个地方（模型的策略）拥有授权逻辑（无论多么复杂），并在授权失败时获得一些上下文（即自定义错误代码）。

有任何想法吗？

对于某些应用程序，我需要一个自定义授权策略提供程序，并点击此链接，并能够成功创建一个在控制器中工作的授权策略提供程序。现在，当涉及到视图时，在基于角色的授权中，您可以简单地使用该术语@if (User.IsInRole("SomeRole"))来显示或隐藏 div 和资源。

如何在视图中使用自定义授权策略提供程序来确定给定用户是否可以根据策略评估查看内容？

我搜索了网络，找不到有关它的有用信息，并尝试与

@if ((await AuthorizationService.AuthorizeAsync(User, "PolicyName")).Succeeded)

但这也并不成功——它也不是一项政策。

以前有人这样做过吗？

更新

我在控制器中使用自定义策略提供程序，如下所示：

[MinimumAgeAuthorize(15)]
public IActionResult Index()
{
       //some code
}

我不能做

@if ((await AuthorizationService.AuthorizeAsync(User, "MinimumAgeAuthorize(15)")).Succeeded)

在剃刀视图中它的等价物是什么？

我在 Azure 部署中心的下拉列表中看不到我的所有 Github 组织存储库。Azure 很久以前就已经被授权了，下拉列表正确地显示了所有的存储库，直到上周我在 DevOps 中玩的时候，不得不再次授权，但我认为它破坏了一些东西。现在在 DevOps 中，我可以看到组织的所有存储库，但在我的 Web 应用程序的部署中心却看不到，我只看到 3 个，这不是我想要的......

由于它已经被授权，我看不到它第一次询问的“授权”按钮。我可以“更改帐户”，但它什么也没做。

在 Github 上，我在“ Installed GitHub Apps ”中重新安装了 Azure Pipelines，以为这样可以解决问题，但事实并非如此。

Azure 应用服务也在“第三方访问”选项卡中获得批准。我尝试“拒绝访问/授予访问”但没有结果。

有没有办法取消Azure上的授权然后重新授权？或者也许我需要在 Github 组织设置中添加一些内容？

我有一个完整的 ASP.NET Core MVC 应用程序和一个已添加用户和角色的数据库。用户注册是在外部处理的，我只需要为我正在为数据库中已有的用户构建的 ASP.NET Core MVC 应用程序提供身份验证和授权。

最好的方法是什么？

我尝试过设置身份并通过实体框架将其连接到用户/角色数据库，但这似乎有点矫枉过正，而且设置已经势不可挡。关于最简单的方法有什么建议可以实现这一点吗？

我已经看过这个问题，但其中很多似乎不适用于 ASP.NET Core MVC ...

谢谢！

根据我目前的理解，所有客户端连接都在两个级别进行身份验证，通道级别和队列管理器级别，

在队列管理器级别，它使用对象CONNAUTH的属性值来确定如何完成身份验证（例如：使用主机操作系统用户存储库），如果对象指定，则它使用结构中包含的用户 ID作为用户应用程序上下文的 id，它用于授权，或者如果存在，则运行客户端应用程序的用户 id 用作应用程序上下文的用户 id，并且该用户 id 用于授权。QMGRAUTHINFOAUTHINFOADOPTCTX(YES)MQCSPADOPTCTX(NO)

在渠道级别，不执行任何与授权相关的操作。仅按照配置进行身份验证。为了更精细的访问控制，一组通道验证记录被应用于通道。CONNAUTH属性的值QMGR仍用于确定要进行身份验证的用户存储库。

问题：

1. 到目前为止我的说法正确吗？（非常感谢更正/解释。）
2. 通道对象的 MCAUSER 属性有什么作用？其目的是什么？为什么消息通道代理在哪个用户下运行很重要？
3. 毕竟，通道级身份验证实际上如何与 MCAUSER 配合使用？
4. 这两个验证过程按什么顺序完成？是否先进行通道认证？