标签: token

它们处于“专有格式”是什么意思？我正在阅读有关 JWT 刷新令牌的信息，它们是不透明的令牌，但我不理解该术语。

remember_token在users表中使用用户身份验证应用程序是否安全？

这个令牌的目的是什么？目前,我在表单中使用它来检查用户是否已登录 - 如果令牌不存在,我会显示登录屏幕.每次用户注销时,都会重新生成此令牌.

我想创建一个随机字符串(令牌),可用于识别用户,同时避免与任何其他用户的令牌发生任何潜在冲突.

我想到的是navigator.userAgent + new Date().getTime()生成令牌的MD5哈希值,但需要一个完整的Javascript MD5库来哈希它,我真的不想这样做.

它必须由AZ/0-9字符组成,理想情况下不得超过32个字符.我对所有想法持开放态度.谢谢!

为了澄清我不是在寻找任何随机字符串生成器,随机字符串必须从通过Javascript提供的用户详细信息生成,并且还可以使用时间来避免潜在的冲突!

我正在尝试在节点应用程序中使用一个简单的联系表单nodemailer.我希望所有的msg都是从我为此目的制作的Gmail帐户发送到我的个人邮件.

在客户端,我所做的就是获取客户的名称/邮件/消息并将其发送到服务器.它在本地工作正常但在部署时无法工作(在heroku btw上).

快速搜索后,看来我必须生成一个ClientId与ClientSecret来自谷歌开发者控制台-我做到了-但是,当涉及到产生"刷新令牌" iI'm完全丧失.

    var smtpTransport = nodemailer.createTransport("SMTP",{
        service:"Gmail",
        auth:{
            XOAuth2: {
                user:"myaccount@gmail.com",
                clientId:"",
                clientSecret:"",
                refreshToken:""
            }
        }
    });

我很困惑:什么是刷新令牌,我该如何获得？

我正在了解JWT以确保项目的安全性,但我有一个问题.如果我在登录后正确收到令牌,但是其他地方的其他人(黑客)窃取了这个特定令牌,他可以访问我的会话吗？使用JWT身份验证的服务器能够检测到这一点并保护我吗？怎么样？

我有这个for循环来获取目录名列表:

for /d %%g in (%windir%\Assembly\gac_msil\*policy*A.D*) do (
echo %%g
)

输出:

C:\WINDOWS\Assembly\gac_msil\policy.5.0.A.D
C:\WINDOWS\Assembly\gac_msil\policy.5.0.A.D.O
C:\WINDOWS\Assembly\gac_msil\policy.5.20.A.D.O
C:\WINDOWS\Assembly\gac_msil\policy.5.25.A.D.O
C:\WINDOWS\Assembly\gac_msil\policy.5.35.A.D.O
C:\WINDOWS\Assembly\gac_msil\policy.5.55.A.D.O
C:\WINDOWS\Assembly\gac_msil\policy.5.60.A.D.O
C:\WINDOWS\Assembly\gac_msil\policy.5.70.A.D.O
C:\WINDOWS\Assembly\gac_msil\policy.6.0.A.D.O

我想获取以"policy"开头的文件夹名称,但echo %%g:~29不起作用.我也试过set x=%%g,然后echo %x:~29%仍然无法正常工作.

那么,我如何从for循环中的令牌获取子串？

我想创建一个可以被各种平台调用的Web服务体系结构,例如移动设备,winforms应用程序,iphone,黑莓,你可以命名它.因此,使用像WCF和wsHttp绑定这样的东西可能会导致这种情况失败,我需要降级到basicHttp绑定以实现兼容性.

话虽如此,我需要一个系统在初始登录(身份验证)时生成令牌,然后使用此令牌进行所有后续调用,我想,验证身份验证并允许该方法执行.

任何人都有关于如何解决这个问题的提示或建议？1)生成令牌以及安全令牌中涉及的内容？2)令牌有多长时间,一些用户可能会使用他们的应用程序几个小时甚至可能"睡眠"他们的计算机

谢谢你的建议.

我正在尝试使用新的图形API检索数据,但是我从OAuth中恢复的令牌似乎没有起作用.

我正在做的电话如下;

$token = file_get_contents('https://graph.facebook.com/oauth/access_token?type=client_cred&client_id=<app_id>&client_secret=<app secret>');

这将返回一个字符串长度为41的标记.为了给出一个示例,我在下面提供了一个示例(将所有数字转换为0,将所有大写字母转换为'A',将小写字母转换为'a'

access_token=000000000000|AaaAaaAaaAAaAaaaaAaaAa0aaAA.

我使用此访问令牌并将其附加到数据的调用请求,它似乎不是正确的令牌,因为它什么都不返回.我按如下方式进行数据调用;

file_get_contents('https://graph.facebook.com/<my_page's_id>/statuses?access_token=000000000000|AaaAaaAaaAAaAaaaaAaaAa0aaAA.')

当我直接通过浏览器手动检索此页面时,我收到500 /内部服务器错误消息.

任何帮助都将得到很好的赞赏.

更新:

我已经将方法从file_get_contents()更改为curl.通过检索标题我得到以下错误消息...

{"error":{"type":"OAuthException","message":"Missing client_id"}}

但我的帖子数组包括'client_id'?!

我不得不放弃基本的WCF UserName/Pwd安全性并实现我自己的自定义客户端凭据,以保存超出默认提供的更多信息.

我参与了这篇MSDN文章,但我遗漏了一些东西,因为它不起作用.

首先,我有一些自定义ClientCredentials,它们提供自定义的ClientCredentialsSecurityTokenManager:

public class CentralAuthCredentials : ClientCredentials
{
    public override System.IdentityModel.Selectors.SecurityTokenManager CreateSecurityTokenManager()
    {
        return new CentralAuthTokenManager(this);
    }
}

public class CentralAuthTokenManager : ClientCredentialsSecurityTokenManager
{
    private CentralAuthCredentials credentials;

    public CentralAuthTokenManager(CentralAuthCredentials creds) : base(creds)
    {
        this.credentials = creds;
    }

    public override SecurityTokenProvider CreateSecurityTokenProvider(SecurityTokenRequirement tokenRequirement)
    {
        if (this.IsIssuedSecurityTokenRequirement(tokenRequirement) || tokenRequirement.TokenType == CentralAuthToken.TOKEN_TYPE)
            return new CentralAuthTokenProvider(credentials.UserId, credentials.UserPassword, credentials.ImpersonateId, credentials.LoginType);
        else
            return base.CreateSecurityTokenProvider(tokenRequirement);
    }

    public override SecurityTokenAuthenticator CreateSecurityTokenAuthenticator(SecurityTokenRequirement tokenRequirement, out SecurityTokenResolver outOfBandTokenResolver)
    {
        outOfBandTokenResolver = null;
        if (this.IsIssuedSecurityTokenRequirement(tokenRequirement) || tokenRequirement.TokenType == …

由于GCM不断更新,我搜索过的大部分资源似乎已经过时或不清楚.基本上,我对令牌和ID过期时感到困惑.(供参考,我正在使用Android.)

根据我的理解(如果我错了请纠正我),我的服务器有一个API密钥和一个发件人ID.使用发件人ID我可以通过本地存储在客户端上的InstanceID让我的客户端请求令牌.我在这里已经有点困惑了.我的应用程序上线时会分配InstanceID吗？它有变化吗？应用程序升级或卸载并重新安装(或设备恢复)时怎么办？通过调用InstanceID.getInstance,我总是会检索相同的InstanceID,还是最终会过期并给我一个新的？通过调用getID()来存储您检索的字符串是否有任何价值？文档似乎表明你在调用getID()时实际上检索了一个新的InstanceID,这样就会使事情复杂化.(供参考,我指的是:https://developers.google.com/instance-id/)

使用InstanceID,我的客户端可以从GCM服务器请求令牌,然后将其发送到我的应用服务器.我的应用服务器存储此令牌,并可以使用它将消息发送到GCM服务器,然后GCM服务器将消息发送到设备.我相信,设备使用存储的InstanceID来实际接收这些消息.因此,拥有一个扩展GcmListenerService的类将允许我使用onMessageReceived接收这些消息？我不需要做任何特别的事情(除了在AndroidManifest中定义它)？我不必实际告诉它使用InstanceID？它只是神奇地知道吗？

这些ID和令牌什么时候到期？它们会过期吗？我将令牌作为字符串存储在服务器上,但如果其中任何一个到期,我怎么知道它们已经过期了？我总是可以生成一个新的InstanceID和Token,这看起来很简单,但旧的那些仍然保持活跃状态​​？如何从服务器擦除旧令牌？似乎有一种简单的方法可以在iOS方面使用APNS来执行此操作,您可以在其中检索所有过期令牌的列表,并从数据库中擦除它们.