草庐IT

secure_auth

全部标签

node.js - Auth0 和 React 的 CORS 问题

我目前正在尝试在我的NodeJS+React应用程序中实现Auth0。尽管我有一个大问题,但给出的这个教程真的很好而且很有帮助。每次我尝试通过Auth0登录/注册时,我都会得到XMLHttpRequestcannotloadhttps://XYZ.eu.auth0.com/usernamepassword/login.Responsetopreflightrequestdoesn'tpassaccesscontrolcheck:No'Access-Control-Allow-Origin'headerispresentontherequestedresource.Origin'http

security - 如何防止 Node.js/Express 提供我的应用程序的源代码?

我从没想过这会是Node.js和Express的问题,但一时兴起,我决定在浏览器中输入我的Node.jsExpress项目中一个源文件的位置-类似于:http://www.mywebsite.com/mynodejsapp/app.js令我极度恐惧,我的应用程序的源代码立即弹出,公开供所有人查看。那么,除此之外:如何在Node.js/Express中阻止它?我的设置代码非常简单:varapp=express();app.configure(function(){app.use(express.static('/home/prod/server/app/public'));});app.

javascript - FB auth 的正确方法

我的项目使用Node.js和Express,但问题是关于通用方法。我们的用户都来自FB,除了FB,我们没有任何身份验证。我们需要将一些Action与特定的FB用户关联起来,还需要他们的token与FB进行通信。目前我们这样做:用户来到页面有不可见block:一个带有用户头像和名称的占位符('logged-in'),另一个带有触发FB登录的按钮('logged-out')使用FBJSSDK我们检查用户的登录状态。如果已连接(实际上意味着:登录FB,验证我们的应用程序并提供我们需要的所有权限),我们将获取用户名和FBID并显示“登录”block。否则会显示“已注销”block对于登录用户的

node.js - Passport token auth *without* 数据​​库 session

我正在寻找一种方法来为Passport.js使用Twitter策略,而无需在数据库中使用session集合/表。这样做的原因是我们将所有数据保存在session集合中,这些数据可能会变得非常大,并且每当用户发出请求时我们都会保存数据库往返,因为我们不必每次都去数据库来获取session数据。无论如何,我们应该能够使用token(JSONWebToken)来验证用户身份,正如这篇精彩的文章所描述的那样:https://scotch.io/tutorials/authenticate-a-node-js-api-with-json-web-tokens但我很困惑,为什么没有一种简单的方法可

mongodb - Mongo "auth failed"仅用于远程连接。本地工作正常

我有一个在EC2上运行的BitnamiMEAN实例。经过一番摸索,我已经能够使用本地shell成功连接到数据库。我创建了具有访问数据所需的所有权限的经过身份验证的用户,当我运行以下代码时——我能够毫无问题地访问数据库。sudomongoadmin-u也就是说,当我尝试使用远程连接重复此操作时,我反复收到来自MongoDB的“身份验证失败”错误。mongo:/-u-p...这很奇怪,因为我使用的凭据与运行本地shell时使用的凭据完全相同。唯一的区别是我包括主机和端口信息。从那以后,我还确认如果我在mongodb.config中禁用auth参数,我的远程连接确实有效。mongo:/显然,

mongodb - Mongo "auth failed"仅用于远程连接。本地工作正常

我有一个在EC2上运行的BitnamiMEAN实例。经过一番摸索,我已经能够使用本地shell成功连接到数据库。我创建了具有访问数据所需的所有权限的经过身份验证的用户,当我运行以下代码时——我能够毫无问题地访问数据库。sudomongoadmin-u也就是说,当我尝试使用远程连接重复此操作时,我反复收到来自MongoDB的“身份验证失败”错误。mongo:/-u-p...这很奇怪,因为我使用的凭据与运行本地shell时使用的凭据完全相同。唯一的区别是我包括主机和端口信息。从那以后,我还确认如果我在mongodb.config中禁用auth参数,我的远程连接确实有效。mongo:/显然,

javascript - 有什么方法可以获取 Firebase Auth 用户 UID?

我希望通过NodeJS或JavascriptAPI从Firebase获取AuthUser(s)UID。我已经附上了它的截图,这样你就会知道我在找什么。希望你们帮我解决这个问题。 最佳答案 身份验证数据在Firebase3中是异步的。因此您需要等待事件,然后您才能访问当前登录用户的UID。你将无法得到其他人。应用打开时也会调用它。如果您愿意,您也可以只在收到事件后渲染您的应用,以避免在其中确定事件是否已触发的额外逻辑。您还可以根据user的存在从此处触发路由更改,这与加载路由之前的检查相结合是确保只有合适的人查看publicOnly或

node.js - 为什么我在将我的 Electron 项目更新到最新版本后会看到 "Electron Security Warning"?

我从thisVuetify'sboilerplate创建了Electron-Vuejs-Vuetify项目我在控制台中看到了这个警告:ElectronSecurityWarningThisrendererprocesshasNode.jsintegrationenabledandattemptedtoloadremotecontent.Thisexposesusersofthisapptoseveresecurityrisks.Formoreinformationandhelp,consulthttps://electronjs.org/docs/tutorial/security问题

node.js - 弃用警告 : Buffer() is deprecated due to security and usability issues when I move my script to another server

脚本移动到其他服务器时出错。(node:15707)[DEP0005]DeprecationWarning:Buffer()isdeprecatedduetosecurityandusabilityissues.PleaseusetheBuffer.alloc(),Buffer.allocUnsafe(),orBuffer.from()methodsinstead.当前版本:Ubuntu16.04.4LTSNode-v10.9.0NPM-6.2.0以前的版本:Ubuntu14.04.3LTSNPM-3.10.10Node-v6.10.3exports.basicAuthenticati

security - Node.js Express 框架安全问题

关闭。这个问题需要更多focused.它目前不接受答案。想要改进这个问题吗?更新问题,使其只关注一个问题editingthispost.关闭8年前。Improvethisquestion我正在寻找应该添加到Node/Express应用程序中的模块,以解决下面列出的一般安全问题:注入(inject)漏洞(JavaScript、SQL、Mongo、HTML)session固定和劫持跨站漏洞(脚本、请求伪造)集体作业在此处插入相关问题感谢您的帮助!---------我找到的一些资源:Excellenttalk(11/2012):http://lanyrd.com/2012/asfws/sxz