問題タブ [http-token-authentication]

angularアプリからサーバー側にデータを通信しています。サーバーはトークンを作成し、それをヘッダーに送信します。Restangular を使用して応答を傍受し、localStorage に保存する方法を探しています。私は成功していません。

私はアプリの.configでこのようなことをしていました

次に、HttpInterceptor で Storage を呼び出してヘッダーを格納していました。しかし、いくつかのエラーが発生しており、これを理解できませんでした。

前もって感謝します！

分離されたインフラストラクチャを初めて試しています。分離されたインフラストラクチャとは、2 つの分離したアプリがあることを意味します。

1. API サービスとしてのみ機能する Rails アプリ
2. すべてのフロントエンドを処理する Angular アプリ

現在、これは非常に単純なプロセスです (2 つのアプリの統合についてさらに学習しているため)。プラットフォーム間の通信は、ある種のトークンベースの認証などで保護する必要があることを理解しています。devise_token_authとng-token-authを見ました。

現在、API を外部関係者に公開しないため、混乱しています。したがって、自分の API を使用できるようにしたい唯一のシステムは、自分のシステム (1 セットの秘密鍵) です。

devise_token_auth を使用して秘密鍵を生成し、それをサーバー側とクライアント側の両方の環境変数に追加すると言っているのは正しいですか? これらの値は現在静的であるため (ユーザー固有ではありません)

ユーザーが別の Web サービスから自分のアカウントを使用して Flask アプリにログインできるようにしようとしています。この Web サービスの API にアクセスして、セキュリティ トークンを受け取ることができます。このトークンを使用してユーザーを認証し、制限されたビューにアクセスできるようにするにはどうすればよいですか?

ユーザーを自分のデータベースに保存する必要はありません。私はセッションのためにそれらを認証したいだけです。これは Flask-Security と @auth_token_required デコレーターを使用して実行できると思いますが、ドキュメントはあまり詳細ではなく、これを実装する方法がわかりません。

編集：

コード例を次に示します。

Django REST Framework を使用して新しい API をセットアップしています。既存のすべてのユーザーに認証トークンを追加する必要があります。ドキュメントは次のように言います：

しかし理想的には、これは Django の新しい移行フレームワークを使用して行うべきです。

これを行う簡単な方法はありますか？

私は Web サービスを初めて使用するので、Web サービスで使用できるトークン ベースの認証については、トークン ベースの認証とは? を参照してください。. 私はインターネットで検索しましたが、 http ベースの Web サイトがセキュリティの脆弱性なしでトークンベースの認証を行う方法は非常に混乱しています。

私が持っているポイントは何ですか？

サーバーとクライアントの間に座って、トラフィックを盗聴することで何らかの方法でトークンを保存し、有効期限が切れる前に悪用することができます。私はここで間違っていますか？

EDIT

https://security.stackexchange.com/questions/46348/token-based-authentication-under-httpで述べたように。

「Facebook は、Cookie または HTTP ヘッダーとして渡され、HTTPS によって保護された OAuth トークンを使用します。」

その場合、Web サイトは http ベースになり、http ヘッダーのみが https を使用するため、これをどのように実装できますか。間違っている場合は修正してください。

GET メソッドとポスト メソッド、および asp.net の後続のメソッドにトークン ベースの認証を使用する方法

Express アプリを使用していて、トークン ベースの認証を実装したいのですが、主にクライアント側とサーバー側の両方でどのようなライブラリが必要ですか? Express-jwt を見たところ、ライブラリが実際に Web トークンに署名できるようには見えませんが、それが検証に使用されていることがはっきりとわかります。クライアント側では、jwt-decode のようなものを考えていますか?

Rails 4.2 でdevise-token-auth gemを使用しnicknameており、Userモデルにフィールドを追加しました。gemコントローラーのオーバーライドを介してこれを実装しようとしています

ルートは次のように構成されます。

そして、彼らはほぼ正しいようです：

次に、から更新を呼び出そうとしますcurl

しかし、更新呼び出しが実行されることはありません。これは、リクエスト後のサーバーを示しています。

jsonの返信curlは次のとおりです。

参考までに私のはこちらGemfile

次の 2 つのサーバーがあります。

• ドメイン A に 1 つ
• 別のドメイン B にある別のもの。

それらをそれぞれAサーバーとBサーバーと呼びましょう。

A-server は、独自の認証とフロントエンド部分を備えたメイン サーバーです。B-server は、独自の認証を持つサービスです。

js内でサーバーAからサーバーBのユーザーを認証するにはどうすればよいですか?

トークンベースの認証を考えて、サーバー B に追加します。

これで、パスに応答し/sign.json、トークンで適切に認証できるようになりました。

ただし、トークンは http-headers に配置されます。だから、すべてが正常なはずですよね？
ただし、サーバー (js を使用するメイン A とトークンベースの認証を使用する B) のドメインが異なるため、これらのヘッダーは js では非表示になっています。

誰かがそのような種類の認証の適切な実装を指摘できますか?

また、どうすればうまくいくのでしょうか？

(現時点では、認証を 1 か所にまとめてすべてのサービス/サーバーに使用することは非常に困難です。)

http とトークンに関する一般的な質問ですが、特定の実装があります。

B - Rails 4.2
gem 'devise_auth_token'
gem 'rack-cors'

セットアップからわかるように、トークンベースの認証から Expose-Headers を追加します。