草庐IT

secure_auth

全部标签

security - JSONP 可以安全使用吗?

在使用JSONP时有哪些安全问题需要考虑? 最佳答案 更新:JSONP是一种常见的跨域请求方法。现代浏览器现在有跨域资源共享,IE8+有类似的XDomainRequest。见http://enable-cors.org/了解更多信息。JSONP只是一个脚本包含,允许您使用回调。但是,您应该注意Cross-siterequestforgery(CSRF).只要您控制脚本和服务器,JSONP就不再比脚本包含不安全。除非您有一个JSONP服务将敏感数据返回给登录用户。恶意站点可以向服务发送请求(希望用户登录到您的站点),然后检索数据。该服

MySQL 在 : mysql "ERROR 1524 (HY000): Plugin ' auth_socket' is not loaded"上失败

我的本​​地环境是:全新的Ubuntu16.04使用PHP7已安装MySQL5.7sudoapt-getinstallmysql-commonmysql-server当我尝试登录MySQL(通过CLI)时:mysql-uroot-p我遇到了3个步骤的循环问题。1)首先是一些套接字问题ERROR2002(HY000):Can'tconnecttolocalMySQLserverthroughsocket'/var/run/mysqld/mysqld.sock'解决方法:重启电脑。导致另一个错误:2)访问被拒绝ERROR1698(28000):Accessdeniedforuser'roo

java - 具有角色和权限的 Spring Security

我正在尝试使用权限设置基于角色的安全性。我正在尝试与Spring-Security一起执行此操作。我不想设置ACL,因为这对我的要求来说似乎有点过头了。我只想拥有本article中所述的简单权限和角色.不幸的是,这篇文章没有描述如何实现给定的解决方案。有人已经尝试过这个并且可以为我指出正确的方向吗?也许还有另一个描述实现的博客条目?非常感谢。 最佳答案 我是相关文章的作者。毫无疑问,有多种方法可以做到这一点,但我通常这样做的方法是实现一个了解角色和权限的自定义UserDetails。Role和Permission只是您编写的自定义类

java - 使用 Spring Security 进行单元测试

我的公司一直在评估SpringMVC,以确定我们是否应该在下一个项目中使用它。到目前为止,我喜欢我所看到的,现在我正在查看SpringSecurity模块以确定它是否是我们可以/应该使用的东西。我们的安全要求非常基本;用户只需能够提供用户名和密码即可访问网站的某些部分(例如获取有关其帐户的信息);并且网站上有一些页面(常见问题解答、支持等)应该允许匿名用户访问。在我创建的原型(prototype)中,我在Session中为经过身份验证的用户存储了一个“LoginCredentials”对象(仅包含用户名和密码);例如,一些Controller检查该对象是否处于session中以获取对登

java - Spring Security 中 Role 和 GrantedAuthority 的区别

SpringSecurity中有概念和实现,比如GrantedAuthority接口(interface)以获得授权/控制访问的权限。我希望允许的操作,例如createSubUsers或deleteAccounts,我会允许管理员(具有角色ROLE_ADMIN)。我在网上看到的教程/演示让我感到困惑。我尝试将我读到的内容联系起来,但我认为我们可以互换对待两者。我看到hasRole消费GrantedAuthority字符串?我绝对是在理解上做错了。SpringSecurity中的这些概念是什么?如何存储用户的角色,与该角色的权限分开?我也在看org.springframework.sec

php - laravel 5.3 新的 Auth::routes()

最近开始用laravel5.3写博客,但是运行后有个问题phpartisanmake:auth当我运行它时,它会在我的web.php中生成路由这是其中的代码:Auth::routes();Route::get('/home','HomeController@index');然后我运行phpartisanroute:list,我发现很多Action,比如LoginController@login...但是我的App\Http\Controllers\Auth中没有找到这些Action,这些在哪里?还有Auth::routes()代表什么,我找不到关于Auth的路由。我需要帮助,谢谢你回答

c++ - 默认情况下,在 Visual Studio 中从项目中删除安全警告 (_CRT_SECURE_NO_WARNINGS)

有没有办法为所有项目设置默认设置,以消除使用scanf()等函数时出现的预编译器安全警告。我发现您可以通过在项目选项中添加一行或在代码开头添加#define_CRT_SECURE_NO_WARNINGS来做到这一点。我发现自己不断地创建新项目来解决编程竞赛,并且添加以下内容真的很烦人(并且需要宝贵的时间):#ifdef_MSC_VER#define_CRT_SECURE_NO_WARNINGS#endif在代码的开头,或者每次启动新项目时在预编译器选项中设置。 最佳答案 在解决方案资源管理器中标记所有需要的项目。按Alt-F7或右键

mongodb - 无法验证到 mongo, "auth fails"

我使用以下说明为mongo创建了一个管理员用户:http://docs.mongodb.org/manual/tutorial/add-user-administrator/从mongo客户端看来我可以进行身份​​验证:>useadminswitchedtodbadmin>db.auth('admin','SECRETPASSWORD');1>但我无法以任何其他方式连接。例如:mongo-uadmin-pSECRETPASSWORD给出错误:JavaScriptexecutionfailed:Error:18{code:18,ok:0.0,errmsg:"authfails"}atsr

java - 解决 javax.net.ssl.SSLHandshakeException : sun. security.validator.ValidatorException : PKIX path building failed Error?

编辑:我尝试在我的blog中以更体面的方式格式化问题并接受答案。.这是原始问题。我收到此错误:detailedmessagesun.security.validator.ValidatorException:PKIXpathbuildingfailed:sun.security.provider.certpath.SunCertPathBuilderException:unabletofindvalidcertificationpathtorequestedtargetcausejavax.net.ssl.SSLHandshakeException:sun.security.valid

ruby-on-rails - 目录 : Securing a Closed API

我在不同的虚拟服务器上有两个Rails应用程序,但在同一个设施中。这两个应用程序都可以通过本地IP地址进行通信。这是一个两部分的问题:1)如何检查请求的来源并将请求限制为仅来自该位置的请求?2)你认为这足够安全吗?我的直觉告诉我,由于IP欺骗,这不够安全,但我认为OAuth或类似工具对我的需求来说有点太硬核了。虽然,也许不是。这是我第一次接触这样的事情,我正在寻找任何可以将我推向正确方向的人。谢谢。 最佳答案 根据托管您的主机,本地网络(您的本地地址所属)可能是仅供您的实例访问的专用网络,或者更有可能与其他虚拟机共享那不属于你。您不