問題タブ [http-token-authentication]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
117 参照

security - トークンベースの認可サーバーのリクエスト/レスポンスの設計

サービスの ID は、データベースに保存されているトークンに基づいています。これは、ユーザー名とパスワードを使用してログインすることにより、クライアントによって取得されます。

リソースが要求されるたびに、トークンを検証し、ユーザーがそのリソースへのアクセスを承認されているかどうかを判断する予定です。

当社のサービスは個別に展開されており、認証サーバーには HTTP 経由でアクセスできます。

リクエストを承認する際のベスト プラクティス/一般的な方法は何ですか?

要求された権限と役割でトークンを送信しています

認可サーバーへのトークン検証リクエストで、ユーザーのロールとリクエストされたパーミッションを指定してトークンを渡すことを考えていました。

成功の場合は 200、無効なトークンの場合は 401、パーミッションの使用が許可されていない場合は 403 で応答します。

認可リクエストでトークンのみを送信する

念頭に置いている別のアプローチは、トークン検証リクエストのトークン内のトークンのみを認可サーバーに送信することです。

そして、ユーザーが持っているすべての権限と役割で応答します。

これらのうち、より望ましいのはどれですか? または、私が検討できる他の/パターンのアプローチはありますか?

0 投票する
1 に答える
1016 参照

android - 次のアクティビティで認証を後付けする

私の最初のアクティビティは、この目的のために最も単純なフォームとハードコードされた資格情報を使用したログイン アクティビティです。POST リクエストが API に送信され、結果としてトークンが返されます。すべて正常に動作します。これを実装した方法は、ログイン メソッド内の onClick イベントの onSuccess メソッド内にインテントを配置することです。コードは次のとおりです。

このコードには、トークンを表示してすべて問題ないことを示す簡単なトーストがあります。このページでエラーは発生しません。しかし、次のページで、API からデータを取得して表示しようとすると、エラー 401、または不正アクセスが発生します。つまり、資格情報が保持されませんでした。

資格情報を維持するために次のアクティビティにスキップする以外に、何かする必要があることはありますか?