問題タブ [restful-authentication]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - Rails、Restful Authentication & RSpec - 認証が必要な新しいモデルをテストする方法
Restful Authentication と RSpec を含む基本アプリであるBortを使用して、学習アプリケーションを作成しました。私はそれを起動して実行し、ユーザーが何かを行う前にログインする必要がある新しいオブジェクトを追加しました(before_filter :login_required
コントローラーで)。[編集: またhas_many
、新しいクラスのユーザーとユーザーだけがそれを見ることができるはずであることにも言及する必要があります。]
多数のデフォルト テストを作成した Rspec のジェネレーターを使用して、新しいモデル/コントローラーを作成しました。それらが存在しない場合はすべて合格しますがbefore_filter
、予想されるように、 が配置されると、いくつかは失敗しbefore_filter
ます。
ログインしているユーザーがいる/いないかのように、生成されたテストを実行するにはどうすればよいですか? ログインしていない一致のバッチ全体が必要ですか - リダイレクト テストはありますか? 私はそれがある種のモッキングまたはフィクスチャ手法であると想定していますが、私はRSpecに不慣れで少し漂流しています。優れた RSpec チュートリアル リンクも歓迎します。
ruby-on-rails - Restful 認証での不注意なセッション ハイジャックの問題
github にある現在のバージョンの restful_authentication を使用していますが、奇妙なセッションの問題がたくさんあります。サーバーが何らかの形でセッションをユーザーに割り当てているようです。これは、ログアウト/ログインのバリアを越えるときにのみ発生します。
これが例です。サーバーでアクティブなセッションがないので、ユーザー A でアカウントにログインします。別のマシンで、ユーザー B でログインします。次に、ユーザー B からログアウトすると、ログアウト リダイレクトが発生した後、次のようにログインします。ユーザー A. この時点から、そのユーザーとしてログインしたかのようにサイトをナビゲートし続けることができます。ログを介して確認したことは、このハイジャックが発生した場合、セッション ID が同じではないということです。ユーザー A は両方のセッションにログインしていますが、セッション ID はまったく異なります。これは、起こり得ることの一例にすぎません。一見ランダムに見えるため、問題を確実に再現することはできません。
環境や実行しているサーバーの症状ではないようです。雑種とパッセンジャーの両方を使用して問題を再現できます。私は開発と生産でもそれを見てきました。このアプリケーションで db ベースのセッションを使用しており、Rails 2.1.1 で実行しています。ジェネレーターを呼び出すときにステートフル オプションを適用しました。それ以外の場合、セッションの処理方法に他の変更は加えられていません。
更新これは、restful_authentication から直接来た問題のある方法です。
ruby-on-rails - ユーザーをアクティブ化するときのacts_as_state_machineでのrestful_authenticationのDoubleRenderError
restful_authentication
withとeメールアクティベーションを使用するプロジェクトではacts_as_state_machine
、ユーザーがEメールリンクからアクティベーションアクションを実行するたびに、ダブルレンダリングエラーが発生します。
デフォルトを使用しています
有効化する、およびデフォルト
リダイレクトします。リダイレクトメソッドは、他のすべての場合でも同じように呼び出されます。
ダブルレンダリングエラーは、「/」としてルーティングされるページmain_page/homeのレンダリングで発生します。
何を探すべきですか?
rest - RESTful 認証
RESTful 認証とは何を意味し、どのように機能しますか? Google で適切な概要が見つかりません。私の唯一の理解は、URL でセッション キー (remeberal) を渡すということですが、これはひどく間違っている可能性があります。
iphone - 匿名の iPhone による遅延ログインをサポートするために restful_authentication/AuthLogic を拡張する最良の方法は何ですか?
Ruby on Rails バックエンドと通信する iPhone アプリケーションを構築しています。Ruby on Rails アプリケーションは、Web ユーザーにもサービスを提供します。restful_authentication プラグインは、迅速でカスタマイズ可能なユーザー認証を提供する優れた方法です。ただし、iPhone アプリケーションのユーザーには、電話の一意の識別子 ([[UIDevice device] uniqueIdentifier]) によって自動的に作成されたアカウントを新しい列に格納してもらいたいと思います。その後、ユーザーがユーザー名/パスワードを作成する準備が整うと、アカウントはユーザー名とパスワードを含むように更新され、iPhone の一意の識別子はそのまま残ります。ユーザー名/パスワードを設定するまで、ユーザーは Web サイトにアクセスできないようにする必要があります。ただし、アプリケーションは ID を使用して自分自身を認証できるため、iPhone アプリケーションを使用することはできます。
これを行うために restful_authentication を変更する最良の方法は何ですか? プラグインを作成しますか? または、生成されたコードを変更しますか?
AuthLogic などの代替フレームワークについてはどうですか。iPhone が生成された認証トークンを UUID にロックできるようにし、ユーザーが後でユーザー名/パスワードを作成できるようにする最善の方法は何ですか?
.net - RESTful WCF と Windows フォームを使用したユーザー/パス認証
IIS でホストされている RESTful WCF サービスと通信する Windows フォーム アプリの承認/認証を実装するための最良の方法は何ですか?
私が尋ねる理由は、さまざまな方法を表現するさまざまな記事や投稿をふるいにかけ、最終的に WCF セキュリティのベスト プラクティスに関する約 650 ページのドキュメントにたどり着いた後、非常に混乱しているためです」( http://www.codeplex.com/WCFSecurityGuide ) 私は私のシナリオを考えると、どのアプローチを採用するのが最適で、実装を開始する方法がわかりません。
この記事「A Guide to Designing and Building RESTful Web Services with WCF 3.5」( http://msdn.microsoft.com/en-us/library/dd203052.aspx ) と RESTful WCF サービスに関する PDC ビデオから始めました。私にとって初めての REST フレンドリーな WCF サービスを実装するのに役立ちました。
サービスが機能するようになった後、セキュリティの実装に戻りました。「セキュリティに関する考慮事項」(ページの 4 分の 1) を参照し、指示に従って HTTP Authorization ヘッダーを実装しようとしましたが、コードが不完全であることがわかりました (「UserKeys」変数が宣言されていないことを確認してください)。これは、これを行う方法についてさらに調査しようとしたポイントです(「Authorization」HTTPヘッダーでHMACハッシュを使用しましたが、Googleであまり見つけられませんでしたか?)メッセージレベルのセキュリティに関する他の記事にたどり着きました。フォーム認証とカスタムバリデーターを使用していますが、率直に言って、どちらが今取るべき最善かつ最も適切なアプローチであるかはわかりません.
以上のことを踏まえて (そして今まで聞いてくれてありがとう!)、主な質問は次のとおりだと思います。
- どのセキュリティ実装を使用すればよいですか?
- すべての WCF 呼び出しでユーザー名/パスワードを送信しないようにする方法はありますか? 接続が最初に確立されている場合は、これらの余分なバイトを送信しないことをお勧めします。これは、ログイン後に後続の呼び出しが許可される前になります。
- SSL を使用している場合、プレーン テキスト以外のことを本当に心配する必要がありますか?
前述のように、.NET 3.5 はフォーム アプリ、IIS がホストする WCF サービスを獲得しますが、重要なことは、すべての WCF サービスがこの承認手順を必要とすることです (ただし、セッション、http ヘッダーなどである必要があります)。誰でもこれらのサービスに Web からアクセスできるようにしたいと考えています。
上記の投稿が大きいことは承知していますが、すでに行ったルートと達成する必要があることを表現する必要がありました。
PS: この投稿についても認識しています ユーザー名/パスワード + SSL を使用して WCF で安全な RESTful サービスを構成する方法コミュニティが WCF サービスの REST から離れることを提案している場合は、これを行うことができますが、一貫性を保つためにこれから始めましたパブリック API が来るように。
WCF サービスにアクセスする方法を述べることが重要だと思います (サービスへの接続は機能していますが、資格情報を検証してから Member オブジェクトを返す最善の方法は何ですか?)。
MSの記事から半分実装されたコード(およびテスト用に私自身のもの):
wcf - REST ベースの WCF サービスから Authorization ヘッダーを読み取るにはどうすればよいですか?
REST ベースの WCF サービスから Authorization ヘッダー情報を読み取るにはどうすればよいですか?
apache-flex - HTTPService または URLRequest を使用するときに Flex で認証ダイアログを回避するにはどうすればよいですか?
これはこの質問に関連しています。REST を使用する Flex アプリ (WindowedApplication) を作成しています。有効な認証で投稿した場合はすべて問題ありませんが、無効なユーザー名またはパスワードを REST API (具体的には Twitter REST API) に渡すと、認証ダイアログが表示されます。
これは望ましいユーザー エクスペリエンスではなく、HTTPService と URLRequest の両方を使用するときに発生します。ダイアログをキャンセルするためにキャッチできるイベントはないようです。
私のコードは次のようになります。
何か不足していますか?これにアプローチするより良い方法はありますか?
ruby-on-rails - Rails には認証システムが組み込まれていますか?
私は何年にもわたって webapps の認証システムを数回実装してきましたが、もう一度実装する前に、知っておくべき既製のソリューションがあるかどうか尋ねてみようと思いました。
前回確認したときは、組み込みの Rails 認証システムはなく、標準的なソリューションはrestful-authenticationプラグインでした。今でもそうですか?それとも、今ではRails自体に組み込まれているのでしょうか? 私はそれが起こるのを見てきました。
apache - Apache でセッション状態を維持するにはどうすればよいですか?
Apache サーバーへの REST 呼び出し間でセッション情報を維持する必要があります。Apache プラットフォームで開発したことがないので、セッション情報とアプリケーションのセキュリティを容易にするのに役立つパッケージ/モジュールを見つけたいと思っています。初心者向けの回答を対象にしてください。