我想知道您使用什么技术来存储应用程序的数据库凭据.我特别关注java webapps,但我认为没有必要将问题限制在那里.
需要考虑的事项:
你使用属性文件,xml配置,其他?
它是捆绑到您的应用程序中(即在jar文件中)还是单独存储在某个文件系统中?
密码是加密的吗?如果是这样,你使用什么加密方案?
有关创建自定义Windows凭据提供程序的文档位于何处?到目前为止,我发现的所有内容都指向了关于如何创建自定义凭据提供程序的相同文章(MSDN杂志:"使用Windows Vista凭据提供程序创建自定义登录体验"),但该文章或我找不到的任何其他内容都提供了文档关于事情如何运作.最好的是有一些代码示例,但这些代码示例并没有解释凭据提供程序的完整机制,也没有说明如何自行编写代码示例.
我目前正在为图像共享应用程序创建一个API,该应用程序将在网络上运行,并在将来的某个时间在移动设备上运行.我理解API构建的逻辑部分,但我仍然在努力满足自己对身份验证部分的要求.
因此,我的API必须是全世界都可访问的:具有访客访问权限(例如,未登录的人可以上载)以及注册用户.因此,当注册用户上传时,我显然希望将用户信息与请求一起发送,并通过我的数据库中的外键将该用户信息附加到上载的图像.
我已经明白OAuth2是API身份验证的方法,所以我要实现这一点,但我真的很想知道如何处理我的情况.我想到使用client credentials授权并为我的Web应用程序仅生成一组凭据,并让它向API发送请求,client secret以获取访问令牌并让用户执行操作.用户注册过程本身将使用此授权进行处理.
但是当用户注册并登录时呢?我现在如何处理身份验证?这是否需要另一笔补助金来接管?我在考虑在用户登录期间进行一些授权过程,以生成新的访问令牌.这种方法有误吗?
我需要你的输入如何正确处理我的情况下的身份验证流程.这种双向身份验证过程可能不是我需要的,但它是我理解它的方式.我非常感谢您的支持.
authentication api-design credentials user-accounts oauth-2.0
其中.docker/config.json有一个credStore属性,显然该文档旨在指向外部凭证存储(例如操作系统的本机钥匙串),以查找注册表的凭证以推送和拉取图像。
但在研究该属性的值后我找不到其含义desktop。我不确定我是否通过之前所做的一些配置自动添加了它。
"credsStore": "desktop"
我知道我可以将密码保存到文件中:
Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File $passwordfile
并从文件中读取:
$secpasswd = (Get-Content $passwordfile | ConvertTo-SecureString)
然后创建PSCredential对象:
$credential = New-Object System.Management.Automation.PSCredential($user, $secpasswd)
但是我可以在文件中保存$ credential,因此用户名和密码保存在一起吗?
是否有一个Windows命令可以让我验证域帐户/密码?
Java SE 6文档中的Oracle "Http Authentication"页面说"如果您作为域用户在Windows计算机上运行,或者您在已经发出kinit命令并获得凭据缓存的Linux或Solaris计算机上运行"那么实例传递给Authenticator.setDefault()"将被完全忽略".
这与我观察到的相符:在Windows系统上为主机X设置HTTP或HTTPS连接始终从"Windows Vault"的"Windows凭据"传递主机X的凭据,如我的Windows 7"凭据管理器"中所示控制面板页面.
但是,在我的用例中,我不想使用可能由Windows存储的任何凭据,而是我总是希望使用我在代码中明确指定的凭据.
有没有办法覆盖记录的行为,即有没有办法忽略Windows存储的凭据?
更新:如果没有,有人可以指向我在Java SE 6源代码中的位置,在那里我可以看到存储的Windows凭据不能被忽略吗?
在凭证存储的上下文中,一种可能的威胁模型是攻击者,其能够:
AFAIK,对这种类型的攻击的共识是,它是不可能阻止的(因为凭证必须存储在内存中以便程序实际使用它们),但有几种技术可以缓解它:
第一种技术很容易实现,可能通过密钥环 (希望内核空间存储)
根据我的知识,第二个是没有编写C模块就完全无法实现(但我希望在这里被证明是错误的,或者有一个现有模块列表)
第三个是棘手的.
特别是,python是一种具有非常强大的内省和反射功能的语言,很难阻止对可以在解释器进程中执行python代码的任何人访问凭据.
似乎已达成共识,即无法强制实施私有属性,并且尝试使用私有属性最多会惹恼使用您的代码的其他程序员.
综合考虑所有这些因素,如何使用python安全地存储身份验证凭据?什么是最佳做法?关于语言"一切都是公共的"哲学可以做些什么吗?我知道"我们都在同意这里的成年人",但我们是否应该在与攻击者共享密码和使用其他语言之间做出选择?
我的AWS凭据有问题.我使用了我在〜/ .aws/credentials上创建的凭证文件,就像它在AWS文档上编写一样.但是,apache无法读取它.
首先,我收到了这个错误:
从实例配置文件元数据服务器检索凭据时出错.如果您未在Amazon EC2内部运行,则在创建客户端或提供实例化的Aws\Common\Credentials CredentialsInterface对象时,必须在"密钥"和"机密"选项中提供AWS访问密钥ID和秘密访问密钥.
然后我尝试了一些我在互联网上找到的解决方案.例如,我试图检查我的HOME变量.这是/ home/ubuntu.我还尝试将我的凭证文件移动到/ var/www目录,即使它不是我的Web服务器目录.没有任何效果.我仍然得到同样的错误.
作为第二个解决方案,我看到我们可以直接调用CredentialsProvider并在客户端上指明目录.
https://forums.aws.amazon.com/thread.jspa?messageID=583216
错误已更改,但我无法正常工作:
无法从/.aws/credentials读取凭据
我还看到我们可以使用CredentialsProvider的默认提供程序而不是指示路径.
我试过,我一直得到同样的错误:
无法从/.aws/credentials读取凭据
万一你需要这些信息,我正在使用aws/aws-sdk-php(3.2.5).我正在尝试使用的服务是AWS Elastic Transcoder.我的EC2实例是一个Ubuntu 14.04.它运行使用Capifony部署的Symfony应用程序.
在我尝试这个生产服务器之前,我在一个开发服务器上尝试过,它只能与〜/ .aws/credentials文件一起工作.此开发服务器正是生产服务器的副本.但是,它不使用Capifony进行部署.它只是该项目的正常git克隆.它只有一个EBS卷,而生产服务器有一个用于操作系统,一个用于应用程序.
啊! 我还检查了两个服务器上凭据文件的权限/所有者是否相同,并且它们是相同的.我尝试了一个777,看它是否可以改变一些东西,但没有.
有人有想法吗?
credentials amazon-ec2 amazon-web-services amazon-elastic-transcoder
我构建了一个C#程序,在Win10上运行.我想通过按下按钮从该程序发送电子邮件(计算结果).我把来自:电子邮件地址和主题:等等放在C#属性中,但是我不想在程序的任何地方放置明文密码,而且我不希望用户输入密码每次发送邮件时为服务器.
可以这样做吗?
如果是这样,如何(一般)?
我正在考虑将所有电子邮件信息(包括服务器的加密密码)放在数据文件中,以便在程序启动期间读取.
或许Win10有一个设施...
credentials ×10
security ×2
windows ×2
amazon-ec2 ×1
api-design ×1
c# ×1
command-line ×1
database ×1
dns ×1
docker ×1
java ×1
login ×1
oauth-2.0 ×1
powershell ×1
provider ×1
python ×1
reflection ×1
storage ×1
windows-7 ×1