問題タブ [remember-me]

tf.exeコマンドを使用して最新のコードを取得しますが、ユーザー名/パスワードを要求し続けます-これらの資格情報を記憶させる方法はありますか？

tf.exe引数リストを見ましたが、ユーザー名/パスワードを渡すことを許可するオプションがありません。次に何を試すことができますか？

構築しているASP.NETMVCサイトに「RememberMe」ログイン機能を実装しようとしています。私はこのアプローチhttp://jaspan.com/improved_persistent_login_cookie_best_practice（上部の「ミラーの設計」を参照）を使用して、ある程度機能させようとしています。

したがって、ワークフローは次のようになります。

1. ユーザーがログインすると、暗号化された安全なランダム文字列とデータベースIDが永続的なCookieとして発行されます（約30日間有効）。安全な文字列は、データベースのユーザーアカウントレコードの横に保存されます。
2. ユーザーは後でサイトに戻り、ブラウザがログインCookieを提示し、IDとセキュアキーがデータベースで検索され、一致するものが見つかった場合、ユーザーは自動的に認証されます。
3. 認証されると、新しいセキュアキーが生成され、データベースに保存され、新しいCookieが発行されます。

私はこれを正常に機能させていますが、ユーザーが複数のブラウザーまたはコンピューターからログインした場合はうまく機能しません。明らかに、ブラウザが異なれば、Cookieとして保存される安全なキーも異なるため、ワークフローは次のようになります。

1. ユーザーはブラウザAからログインし、Cookieとして安全なキーを発行され、キーはデータベースに保存されます。
2. ユーザーはブラウザBからログインし、Cookieとして別の安全なキーが発行されます。キーもデータベースに保存されますが、ブラウザAから生成されたキーを上書きします。
3. ユーザーがブラウザAからサイトに再度アクセスすると、ブラウザは手順1で発行されたCookieを表示しますが、手順2で安全なキーが置き換えられたため、一致しなくなったため、ユーザーは再度ログインする必要があります。別の新しいキーが生成され、ブラウザBに発行されたキーを上書きします。
4. ユーザーがブラウザBから再度アクセスした場合、キーが一致しない場合、再度ログインする必要がある場合など。

どうすればこれを解決できますか？データベースに複数のキーを保存して維持する必要がありますか？私もこれを正しい方法で行っていますか？StackOverflowがこれを管理しているようで、さまざまなブラウザやコンピュータから私を覚えていることに気づきました。

Drupal 6のログインページに「パスワードを記憶する」オプションを追加したいのですが、このためのモジュールはありますか？

ログインページにユーザーの名前とパスワードを記憶し、ユーザーがサインアウト後に戻ってきたときにフィールドに自動入力するdrupalモジュールはありますか？

私の最新のプロジェクトでは、https://github.com/hassox/rails_wardenを使用しています。remember_me を実装する良い方法が見つからないことを除けば、私のニーズに非常によく合っています。セキュリティの観点からremember_meを正しく設定するのは非常に難しいことで知られているので、その仕事をしてくれるプロジェクトが世の中にあることを願っています。誰かが何かを見たり、良いアイデアを得たりしますか?

RailsセッションCookieはHttpOnlyデフォルトですが、remember_user_tokenDeviseのRememberableモジュールによって設定されたCookieはデフォルトではありません。

私が理解しているように、Cookieを送信すると、ユーザーに新しいセッションCookieが発行されるため、XSSに対しても同様に脆弱です。

それで、それをに設定する方法はありますHttpOnlyか？

セッションの乗っ取りやログイン時の記憶に関するその他の問題を回避するにはどうすればよいですか? 私が知っていることの1つは、md5またはユーザーエージェントを追加することですが、それ自体はあまり良い保護ではありません...他にも何かありますか?

私は自分の問題 (こことここ)についてさまざまな質問をしました。また、IRC の #oauth & #openid freenode のチャネルでも質問しました。（これは「UP」の質問であり、別の問題です）

私のプロジェクト構成を要約します: 誰でも私の API を使用できるアプリを作成する可能性があります。まず、API と Web ベースのアプリに取り組みますが、API に関するドキュメントは公開されます。これは、Twitter API に少し似ています。

私が直面している問題は、どのユーザーが API を使用しているか (ツイートなどの個人データを取得するため) をどのように確認できるかということです。周りのすべてのアプリ）。

私はよくグーグルで検索し、以前の回答の助けを借りて、OAuth を調べました。

OAuthの仕組みを理解している限り、ここでどのように：

• ユーザーが自分の API (ウェブ、モバイルなど) を使用するアプリにアクセスします。
• アプリは、認証 (ここでは OpenId を使用します) と承認 (OAuth) のためにユーザーを API にリダイレクトします。API にはログインと承認用の Web インターフェイスがあるため、これは少し奇妙です (Twitterがそうしているので、これがどのように機能するかを推測します) 。
• API は、いくつかのトークンを使用して、接続されたユーザーをアプリにリダイレクトします。これらのトークンには、現在アプリを使用しているユーザーを API に示すために、アプリが保存する必要があるユーザーを表すトークンがあります (私は正しいですか?)

これまでのところ、すべてがうまくいっています。しかし、私が理解できないのは、ユーザーがアプリを終了して再び行ったときです。アプリは、ユーザーが以前に使用したユーザーであることをどのように記憶できますか?

( Cookieの回答を私に提示する前に、これは単純な例であることに注意してください。ユーザーが Cookie をクリアしたり、コンピューターをフォーマットしたり、コンピューターを変更したりしても同じです。)

私が見つけることができる唯一の解決策は、認証されていないユーザー (たとえば、Cookie を記憶していない) がアプリにアクセスしたときに、アプリが彼を API に再度リダイレクトして自分自身を認証することですが、今回はユーザーが再認証する必要はありません。アプリは既に許可されているため、許可 (承認) します。その後、API はユーザーをアプリに戻し、ユーザーがこれで遊べるようにします。

これは適切で安全な方法ですか？

#OAuth IRC チャネルは新しいプロトコル WebID について教えてくれましたが、これは現在ドラフト前のモードであり、将来的に継続的に変更されるものを使用したくありません :/

ご助力ありがとうございます！

私はSpring Security 3.0.0と永続的なRememberMeを使用しています。サーバーが再起動し、ブラウザー ウィンドウがまだ開いている場合、ログインせずにアプリケーションを使用し続けることができる必要があります ([記憶する] が選択されている場合)。

org.springframework.security.web.authentication.rememberme.CookieTheftException: Invalid remember-me トークン (シリーズ/トークン) の不一致が発生します。サーバーの再起動後にアプリケーションを使用し続けようとすると、以前の Cookie 盗難攻撃が行われたことを暗示しています。私が気付いたのは、processAutoLoginCookie メソッドが 2 回呼び出されることです。理由はわかりません。メソッド自体の動作は正しいようです。つまり、データベース内のトークンを更新し、クライアント内の Cookie を更新します。

これに関する助けをいただければ幸いです。

ありがとうございました。

PHPがUnicodeをサポートする方法を学ぶのに休憩をとっている間、私は「RememberMe」Cookieをもう少し安全にするために掘り下げてきました。しかし、私が理解していないことがいくつかあり、私自身の考えのいくつかについて、いくつかの提案や意見が欲しいです。

1）Cookieを使用しない「RememberMe」機能を採用する方法はありますか？認証Cookieの保存には明らかなセキュリティ上の欠陥があるため、不思議です。ほぼすべてにセキュリティリスクがないわけではありません。

2）私は銀行や「機密性の高い」情報を扱っていないので、より「目立つ」領域のパスワードをユーザーに入力するように要求する必要がありますか？とにかく2分後に基本的にログインするように依頼するだけの場合、ログインを覚えておくのは無駄になるようです。

3）認証Cookieを保存するための絶対的な最良の方法は何ですか（「まったくない」以外）？私は現在、Cookieに単一のトークンを設定するようにその領域をコーディングしています（time（）、それらのユーザーエージェント、remote_addr、およびsalt --sha256を使用してハッシュされています）。上記のユーザーが戻ってくると、トークンの「セッション」テーブルをチェックし、IPとIPを照合してログインします。トークンが存在するがIPが照合されない場合は、Cookieの設定をサイレントに解除し、次のようにログインするように求めます。彼らが持っていなかった場合。

みなさん、ありがとうございました。

開発中の Web サイトにユーザーをログインさせるために、ASP.NET フォーム認証を使用しています。

機能の一部は、ユーザーがチェックすると 1 か月間ユーザーを記憶する「Remember me」チェックボックスです。

ユーザーをログインさせるコードは次のとおりです。

web.config の関連セクションは次のとおりです。

これにより、ユーザーは問題なくログに記録されますが、サイトを使用しない場合は 30 分後にログアウトされます。ただし、永続性プロパティ (rememberMeChecked) が true に設定されており、true の場合、Cookie は 1 か月後に有効期限が切れるように設定されます。私がここに欠けているものはありますか？

前もってありがとう、F