問題タブ [authenticity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - Rails - 認証トークンの回避策
古いRails 2.0.2アプリケーションで解決すべき興味深い課題があります(Rails 4に更新中ですが、この問題を解決するのにそれほど長く待つことはできません)。問題はこれです: 最終的にユーザーをオンラインで当社の Web サイトに誘導することを目的としたオフライン コンテンツを配布しようとしています。オフラインからオンラインへの移行では、オフラインで入力するフォームがありますが、ユーザーが同じフォームに 2 回入力しなくても、オンライン バージョンのフォームにデータを投稿できるようにしたいと考えています。私が見ている問題は、オンライン バージョンで変更される Authenticity Token をどのように処理するかということです。これを回避する方法について何か提案があれば教えてください。Authenticity Token の目的は、私がやろうとしていることを防ぐことだと理解していますが、それを回避することはできますか? たとえば、オンライン バージョンにオフライン バージョンのデータを何らかの方法で事前に入力することによって?オンライン フォームのドメインの Cookie に同じ session_id を書き込むことができない限り、現在動作している認証トークンとセッションのペアを再現できないと思いますか? それとも、サーバー側で対処する必要がありますか? この問題のためだけにサーバー側でカスタム コードを使用することを避けようとしていました...ご回答いただきありがとうございます。
ios - アプリケーション認証性が有効になっていると、IBM Worklight 6.2 Direct Update が失敗する (iphone IOS 7)
iphone (ios 7) 環境用の worklight 6.2 アプリケーションをデプロイしています。iPhone の Application Authenticity を有効にすることができました。Application Authenticity 機能が有効になっている場合、直接更新機能は失敗します。iPhone で、新しいアップデートを受信するときに [OK] ボタンをタップすると、アプリケーションがアップデートをダウンロードしてしばらくすると、次のように表示されます: 直接アップデートに失敗しました (直接アップデートの失敗)。私は皆、xcodeコンソールにこのエラーログを表示しています:
authenticationConfig.xmlでセキュリティー・テストを構成し、ファイル .war ファイルを Worklight Server にデプロイします。
次に、application-descriptor.xmlで:
hash - HTTP リクエストの信頼性と整合性
外部 Web サイトが POST 要求を送信できる API エンドポイントがあります。リクエストが本物であり、改ざんされていないことを確認し、整合性の原則を尊重するための最良の方法は何ですか?
データはクレジット カード情報などの価値がないため、HTTPS 統合は必要ありません。
HMAC とデジタル署名の両方を調べましたが、2 番目のオプションの方が優れていると思いますが、これが正しい方法かどうかはわかりません。
同様に、リクエストをハッシュしてサーバーで検証するだけで十分でしょうか?
ruby-on-rails - Railsは認証トークンをどこに保存しますか
Rails4 によって認証トークンがどこに保存されているかを把握しようとしています。すべてのリクエストで、レールは新しいトークンを生成するようです。しかし、Cookie ストアを使用する場合、これらすべてのトークンは正確にはどこに保存されるのでしょうか? セッション変数を調べましたが、何も見つかりませんでした。
ibm-mobilefirst - Mobilefirst 8.0 でアプリの認証性を「再度有効にする」が機能しない
MobileFirst 8.0 での App Authenticity テスト中に、(Android) アプリのデバッグ・パッケージとリリース・パッケージを使用して、コンソールで App Authenticity 設定の有効化と無効化を切り替える際に奇妙な動作を発見しました。
mfp-app-authenticity-tool.jar ツールを使用してアプリ (リリース パッケージ) に署名する手順に従い、コンソール経由で .authenticity_data ファイルを登録し、アプリの Security-Check Configurations を有効期限の値で appAuthenticity 設定を使用するように設定しました。
(初期接続の場合) アプリのリリース バージョンをデバイスにインストールした後、アプリは MFF サーバーに正常に接続し、アダプターを呼び出します。
(同じデバイスからアプリのリリース バージョンを削除した後) デバイスにアプリのデバッグ バージョンをインストールすると、アプリは期待どおりに MFF サーバーに接続できません。
コンソールで Authenticity ファイルを削除してアプリの認証性を無効にすると、デバイス上のアプリのデバッグ バージョンが MFF サーバーに正常に接続し、アダプターを呼び出します。
最初の手順と同じ手順でアプリ認証性を「再度有効化」しますが、アプリのデバッグ バージョンは引き続き MFF サーバーに接続でき、アダプターを呼び出します。Maximum Token-Expiration Period と Expiration Period の設定があることは理解していますが、テストのために両方の値を 60 秒に設定しました。(アプリのデバッグ バージョンを再インストールし、サーバーで変更せずにアクションをテストすると、期待どおりの動作が得られます。つまり、接続できません。)
これは、コンソールでアプリの認証設定をリアルタイムで有効/無効にする通常の動作であるかどうか、また、この機能が有効 -> 無効のみの 1 つのアクション セット用に設計されているかどうか疑問に思っています。
何か考えはありますか?
ありがとう!