問題タブ [nonce]

私のアプリには、フル ライセンスのアプリ内購入があります。サブスクリプションも、サーバーからのアイテムのダウンロードもありません。ライセンスの購入は 1 回のみで、アカウントは管理されていないため、Google アカウントのみが該当します。Google アカウントはユーザーです。私は秘密鍵と SKU 名を強力に保護しており、それが私のアプリには十分であると考えているため、これらすべてを指摘しています。

秘密鍵と SKU 名を強力に保護するだけで、私のようなアプリには十分でしょうか? これで十分だと思います。開発者のペイロード (アカウントなし) やナンス (リプレイ攻撃なし) は必要ありません。私は正しいですか、それとも間違っていますか？

wordpress サイトでボタンがクリックされた後、AJAX を介して PHP 関数をトリガーし、wordpress nonce を使用してプロセスを保護しようとしています。

何らかの理由で検証されないナンスを除いて、すべてが正常に機能しているため、-1 が返されます。私は何を逃したのですか？

functions.php の私のコード

button_click_ajax.js の私のコード

これはプロモーションモーダルの実用的なコードですが、これは ajax リクエストで wordpress nonce を使用する安全で適切な方法ですか?

tmp で nonce を作成します: $ajax_nonce = wp_create_nonce( "mynonce" ); URL の例: www.mysite.com/#345345

プラグイン:

上記の php では、get_post_type() は、sanitize_post() を使用する get_post() を使用しています。そのため、いくつかの検証が行われています。現在、私の計画では、悪意のあるものが URL に追加されたり、クライアントで他の手段によって送信されたりした場合、その $theid は私のホワイトリスト番号「876」に設定されます-クライアントまたはphpで追加の検証を行う必要がありますか?

どんな援助でも大歓迎です、ありがとう!

Java から Web サービスを呼び出そうとしています。これは基本的にそれほど難しいことではありませんが、Web サービスはユーザー名とパスワード、およびノンスの形式である程度のセキュリティを期待しています。SoapUi から Web サービスを呼び出そうとすると、生のメッセージが次のようになっていることがわかります。

メッセージの明らかな要素はユーザー名、パスワード、および作成済みですが、私を困惑させているのはノンスです。例では、このフィールドの値は 4smQZF5KMSktEXrQc0v5yw== ですが、この値はリクエストごとに異なります (ウィキペディアによると、ナンスは一度だけ使用される任意の数値であるため、これは理にかなっています)。周りを検索すると、Java で nonce を生成する方法の使用可能な例が見つかりません (ただし、ここでスタック オーバーフローに関するいくつかの php の例を見つけましたが、それらが機能するかどうかを簡単に確認することはできません)。私自身はこのナンスを構築することを気にしませんが、これが本当に必要かどうか疑問に思っています.Javaの標準機能になると思います.

以下は私が使用しているコードです：

スレッドで API 呼び出しを行っています。API では、各呼び出しが最後の呼び出しよりも大きい Nonce を持つ必要があります。

このコードを使用してナンスを生成しています:

req['nonce'] = int(time.time()*1000000)

エラーが発生します:

"{u'error': u'Nonce は 1427495062551856 より大きくなければなりません。1427495062544266 を指定しました。'}".

エラーの原因は、API 要求/応答時間のわずかな変動により、1 つの API 要求が前の要求 (より低いノンスを持つ) よりも先にサーバーに到達することであると考えています。

誰かがこれに対する解決策を持っていますか?

サンドボックスで Braintree マーケットプレイスを使用していますが、問題や質問があります。
client_token を生成するときに顧客 ID を使用し、データベースに payment_nonce を保存し、後で (3 ～ 4 分で) submit_for_settlement に使用しています。問題は、各トランザクションに固有のナンスが必要なことですが、Dropin UI を 2 ～ 3 分以内に 2 回送信すると、同じナンスが返され、2 番目のトランザクションは次のエラーで失敗します。一意のノンスを確実に取得する方法はありますか? ありがとうございました

Azure Active Directory に対して認証する ASP.NET MVC 5 アプリがあります。アプリ全体で SSL を有効にしたかったのです。したがって、次のようにグローバルフィルターを活用しました。

この後、プロジェクトのプロパティで「SSLを有効にする」もtrueに設定しました。これにより、次の SSL URL -> https://localhost:34567 が得られました。プロジェクトを更新して、「プロジェクト URL」のサーバーの下にある「Web タブ」の下の IIS Express パスにこれを含めました。ただし、サイトを実行すると、次のエラーが発生します。

IDX10311: RequireNonce は 'true' (デフォルト) ですが、validationContext.Nonce は null です。nonce を検証できません。ノンスを確認する必要がない場合は、OpenIdConnectProtocolValidator.RequireNonce を「false」に設定します。

私は認証を持っています。サイトで有効になっています。Azure Active Directory を使用しています。

セキュリティコードは次のとおりです。

認証。値は web.config から読み取られており、次のとおりです。

次のように、エラー メッセージの指示に従って RequireNonce を false に設定してみました。

しかし、これは無効なリクエストエラーを引き起こしました。

誰かがここで何が問題なのかを理解するのを手伝ってもらえますか? SSLが有効になるまで、すべてがうまくいきました。

現在、PHP + JS SDK (ドロップイン UI 経由) を利用するサイトがあり、既存のサブスクリプションの支払い方法を更新する機能を実装しています。

現在のPHP SDK ドキュメントによると、サブスクリプション用に更新できるフィールドの 1 つは、渡すことができる paymentMethodToken です。

トークンまたは支払い方法ナンスによる

ただし、この呼び出しを行った後 (有効なサブスクリプション ID があることを確認)、Braintree_Exception_NotFound()エラーがスローされます。Payment Method Documentationに従って、この例外は、支払い方法が見つからない場合にスローされます。

これは、サブスクリプションの支払い方法を更新するときに、API がノンスの使用を許可していないことを示唆しています。何か不足していますか、それともドキュメントが最新でないだけですか?

PS私はこれとこれをレビューしました（他のいくつかの未回答のものと一緒に）、どちらもまったく的を射ていません。

私の WordPress プラグインであるAjax load Moreは現在、フロント エンドで admin-ajax.php を呼び出すナンス変数を使用しており、悪意のあるものなど、特定のタイプの誤用から URL を保護するのに役立ちます。

私が抱えている問題は、WP Super Cache、WP Fastest Cache、W3 Total Cache などのさまざまなキャッシュ プラグインが nonce 変数をキャッシュしているため、プラグインが nonce を検証しようとするとエラーが発生することです。

私の質問は、ナンス検証が必要ですか?

プラグインは WP_query() を使用して投稿データを取得するだけで、DB には何も送信しないので、やり過ぎのように思えます。