我正在开发一个完全由ajax驱动的应用程序,其中所有请求都通过基本上相当于一个主控制器,在它的骨头上看起来像这样:
if(strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
fetch($page);
}
这通常足以防止跨站点请求伪造吗?
当每个请求没有刷新整个页面时,拥有一个旋转令牌是相当不方便的.
我想我可以传递和更新唯一令牌作为一个全局javascript变量与每个请求 - 但不知何故感觉笨拙,似乎本质上不安全.
编辑 - 也许静态令牌,如用户的UUID,会比什么都好?
编辑#2 - 正如鲁克所指出的,这可能是一个令人头疼的问题.我已经阅读了两种方式的猜测,并听到有关旧版本的闪存可用于此类恶作剧的远程窃窃私语.由于我对此一无所知,所以我会向任何可以解释这是CSRF风险的人提供奖励.否则,我将它交给Artefacto.谢谢.
我需要在Rails 3.1 API中结合最新版本的设备使用基于令牌的身份验证.到目前为止没问题.
现在我不想将我的:auth_token附加到客户端的POST/PUT参数,而是将此令牌作为请求标头发送,如HTTP_X_MYAPP_AUTH_TOKEN".
我可以说服设计使用它而不是参数中的令牌吗?是否可以实现这两者,以便我的API用户可以通过请求头或POST/PUT参数发送令牌?
问候.费利克斯
在我的Java EE6,REST服务上,我想使用身份验证令牌从移动设备登录,用户将发送他们的用户名,密码和服务器将发回一个令牌,这将用于授权用户他们对给定的进一步请求时间.
我可以像这样简单地创建一个令牌吗?(我想我不需要加密它,因为我将使用HTTPS.)
String token = UUID.randomUUID().toString().toUpperCase()
+ "|" + "userid" + "|"
+ cal.getTimeInMillis();
或者有一种更标准的方式来创建我的令牌?也许它存在于API之一中
我想使用PHPFox开发的网站代码中的方法和资源.
基本上,我会收到请求iPhone/Android,我会收到请求并从PHPFox代码传递给相应的函数,从该函数获取响应并将其返回给设备.
为此,我使用Slim框架开发了REST API .
但我目前面临的主要障碍是访问PHPFox网站的资源(即功能和数据).
我不明白我应该如何使用"基于令牌的身份验证"来验证用户才能访问网站的资源.
如果有人可以通过一些有用的工作示例指导我正确的方向,那对我来说真的很有帮助.
注意:"基于令牌的身份验证"的建议实施应该非常安全且速度快.安全不应以任何方式受到损害.
以下是我自己尝试的代码,但我不知道它是对还是错.我的方法是正确还是错误.请有人分析一下,让我知道你对它的反馈.
要创建令牌,我使用此功能作为参数,即用户的数据
define('SECRET_KEY', "fakesecretkey");
function createToken($data)
{
/* Create a part of token using secretKey and other stuff */
$tokenGeneric = SECRET_KEY.$_SERVER["SERVER_NAME"]; // It can be 'stronger' of course
/* Encoding token */
$token = hash('sha256', $tokenGeneric.$data);
return array('token' => $token, 'userData' => $data);
}
因此,用户可以对自己进行身份验证并接收包含令牌(genericPart +他的数据,已编码)和未编码的hisData的数组:
function auth($login, $password)
{
// we check user. For instance, it's ok, and we get his …我正在尝试将我的代码推送到我的位存储桶存储库,但从位存储桶更新后的最后几天开始,我必须使用令牌来推送代码。但我不知道在哪里添加令牌。谁能告诉我android studio的整个流程。我也阅读了 此文档。但不知道如何在 android studio 中使用它。
任何人都可以逐行解释下面的代码是如何工作的.我真的迷路了.我一直在努力学习如何使用FOR命令,但我不明白这一点.
@echo off
for /f "tokens=* delims= " %%f in (myfile) do (
set line=%%f
call :processToken
)
goto :eof
:processToken
for /f "tokens=1* delims=/" %%a in ("%line%") do (
echo Got one token: %%a
set line=%%b
)
if not "%line%" == "" goto :processToken
goto :eof
我正在开发Android应用程序,我通过Facebook SDK登录.在应用程序中,我还在webview中显示了facebook社交评论.但问题是,即使用户通过fb sdk登录,webview也不知道它,并且发布新评论需要用户登录.
我的问题是:有没有办法如何将登录从facebook sdk会话传递到webview?例如,通过一些javascript函数,我提供访问令牌字符串并在webview上调用它,以便它登录并准备发布评论?
谢谢 :)
我一直很好奇谷歌如何在iPhone应用程序上生成一次登录令牌,而在令牌分配时没有与服务器通信.令牌每十秒更改一次.谷歌如何知道正确的令牌是什么?我禁用了数据,它仍然有效.
谢谢
我正在开发一个旅行应用程序,我必须阅读包含所有州和国家的txt文件,因为您可以注意到这是一个非常大的文件,无论如何,这是文件内部文本的示例:
Zakinthos(ZTH),希腊
Zanesville(ZZV),美国
Zanjan(JWN),IRAN
Zanzibar(ZNZ),TANZANIA
......
现在我正在阅读文件没有问题,但我不知道如何创建两个数组,一个与州,另一个与国家,所以我可以在文本自动完成时将它们显示在表中.
我已经尝试使用NSScanner使用","作为分隔符,但我不知道如何使其工作,我也尝试使用NSString方法没有结果.
欢迎任何帮助,谢谢你提前!!!
顺便说一下我的英语XD
我已经根据django rest框架Docs实现了令牌认证.
从我读到的形式来看,DRF的令牌认证非常简单 - 每个用户一个令牌,令牌不会过期并且始终有效(我是对的吗?).
我知道有更好的做法,但是现在DRF令牌认证对我来说很好.
我的问题是 -使用普通DRF令牌身份验证注销的最佳做法是什么?
我的意思是,当用户注销时,我应该从客户端删除令牌吗?然后登录再次获取令牌?我应该删除令牌并生成一个新令牌吗?
有经验的人吗?
login token logout django-rest-framework http-token-authentication