- 综合排序
- 最热优先
- 最新优先
- 来自专栏01二进制
从SSO出发谈谈登录态保护
如下图所示 如果想要保护某些资源,比如一些珍贵的学习资料,那就必须限制浏览器的请求,对于服务端来说就是要知道发出这个请求的人是谁,也即让请求变得有「状态」,只不过既然 HTTP 协议无状态,那就让浏览器和服务器之间共同维持一个状态吧 SSO 登录中心记录下 A 站点4.下次访问 A 站点时携带包含了这个 ticket 的 Cookie,A 站点收到请求并创建针对 A 站点的局部会话,给用户返回已登录的 A 站点页面 此时如果用户想要访问 B 站点,那么流程如下所示: 1.浏览器访问 B 站点显示未登录,跳转至 SSO 登录中心2.SSO 登录中心发现用户已经在登录中心完成登录3.SSO 登录中心返回一个 tikect 给 B 站点4. 登录态保护 在了解了 SSO 之后,我们知道,在 A 站点登录后,下次再请求 A 站点就会携带诸如「A_USER_COOKIE」的一个 Cookie 值。 我们以 www.taobao.com[4] 为例,打开控制台-应用程序-Cookie,下图中的最后一栏就是Cookie的优先级。
1.5K30发布于 2021-09-03 - 来自专栏晓晨的专栏
IdentityServer Topics(4)- 登录
登录工作流程 当IdentityServer在授权端点收到请求,且用户没有通过认证时,用户将被重定向到配置的登录页面。 将会传递一个returnUrl参数,通知你的登录页面,一旦登录完成,用户应该被重定向到哪里。 ? 注意通过returnUrl参数的开放重定向攻击。 请参阅API的交互服务来验证returnUrl参数(https://identityserver4.readthedocs.io/en/release/reference/interactionservice.html 登录上下文 在您的登录页面上,您可能需要有关请求上下文的信息,以便自定义登录体验(如客户端,提示参数,IdP提示或其他内容)。 这可以通过交互服务上的GetAuthorizationContextAsync API获得(https://identityserver4.readthedocs.io/en/release/reference
1.8K30发布于 2018-06-22 - 来自专栏开源部署
如何使用Fail2Ban保护WordPress登录页面
Fail2Ban扫描/var/log/auth.log之类的日志文件,并禁止IP地址进行过多的失败登录尝试。它通过更新系统防火墙规则以在可配置的时间内拒绝来自那些IP地址的新连接来实现此目的。 在这篇文章中,我向您介绍了如何使用Fail2Ban保护SSH服务。现在,我将指导您如何使用Fail2Ban保护WordPress登录页面。
1.1K20编辑于 2022-07-28 企业办公文件怎么保护?分享4个保护文件安全的小妙招,全方位保护文件
那么,企业办公文件怎么保护?如何在日常操作中有效防止文件被误删、外泄或被黑客攻击?今天,我们就来分享4个简单实用的文件保护小妙招,无需专业背景也能轻松上手,全方位守护你的办公文件安全。 推荐工具:Windows系统自带“EFS加密”功能(适用于专业版及以上)适用场景:保护重要合同、财务报表、客户名单等敏感文件。 文件加密软件采用透明加密、落地加密、复制和剪贴板加密等多种加密模式,实现文件全生命周期保护。 4. 文件操作权限软件支持安全区域隔离与文档权限管控。按部门划分虚拟安全域,不同部门不同密钥,研发部与市场部默认隔离;对某文件设置新建、修改、删除等权限管控。5. 五、总结企业办公文件怎么保护? 其实并不难,实施以上4种方法,就能大幅提升文件安全性。赶紧试试这些方法,让你的企业数据更安全!小编:莎莎
37110编辑于 2025-10-21- 来自专栏草根专栏
Identity Server 4 - Hybrid Flow - 保护API资源
这个系列文章介绍的是Identity Server 4 的 Hybrid Flow, 前两篇文章介绍了如何保护MVC客户端, 本文介绍如何保护API资源. 相关代码: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 里面03那部分. 图里有IDP (Identity Provider, 我例子里是用Identity Server 4构建的项目)和客户端(我的例子里是MVC客户端). 会在被保护的API那里再次进行验证. API项目还需要安装IdentityServer4.AccessTokenValidation这个包, 可以通过Nuget安装.
89820发布于 2018-08-01 - 来自专栏NetCore 从壹开始
Ids4 认证保护 API 方案更新
先说下为什么突然说到了Ids4? 这几天大家都知道,我在视频《微服务之eShop讲解》,目前讲到了购物车微服务部分,看到了官方架构中用到了Ids4的认证平台,和保护资源Api,和我写的认证方案不一样,所以我就开始研究了下官方,发现了原因 —《【Ids4实战】最全的 v4 版本升级指南》。 更新的内容还是很多的,绝大多数的更新还是ids4认证平台的,其实在其他的地方也有了些许的变化,今天说的就是关于受保护资源服务器的一个小更新,关于ProtectingAPIs这一章节的。 1、之前版本是如何保护Api的 在Authentication_Ids4Setup.cs中,我定义了一个服务扩展,用来添加Ids4的认证服务,其中有两个部分,第一个部分就是添加认证服务: services.AddAuthentication
1.4K20编辑于 2022-04-11 - 来自专栏企鹅号快讯
用 Identity Server 4 来保护 Python web api
项目的早期后台源码: https://github.com/solenovex/asp.net-core-2.0-web-api-boilerplate 下面开始配置identity server 4, localhost:4200/silent-renew.html', automaticSilentRenew: true, accessTokenExpiringNotificationTime: 4, import CORSMiddleware 然后正确的做法是通过Authorization Server的discovery endpoint来找到jwks_uri, identity server 4 openid-configuration/jwks')still_json = json.dumps(json.loads(response.read())['keys'][0]) identity server 4的 官方还有一个nodejs api的例子: https://github.com/lyphtec/idsvr4-node-jwks
1.4K90发布于 2018-02-06 - 来自专栏又见苍岚
OMV -4- OMV 强制 https 登录
https 相比 http 具有更高的安全性,个人nas服务器建议强制使用 https 登录,本文记录 omv 系统强制 https 的方法。 关于 HTTP的明文数据传输, 攻击者最常用的攻击手法就是网络嗅探, 试图从传输过程当中分析出敏感的数据, 例如管理员对 Web 程序后台的登录过程等等, 从而获取网站管理权限, 进而渗透到整个服务器的权限 即使无法获取到后台登录信息, 攻击者也可以从网络中获取普通用户的隐秘信息, 包括手机号码, 身份证号码, 信用卡号等重要资料, 导致严重的安全事故。进行网络嗅探攻击非常简单, 对攻击者的要求很低。 设计目标 HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。
1.3K20编辑于 2022-08-06 - 来自专栏CTF新手教程
PWN从入门到放弃(4)——程序保护机制
0x00 程序保护机制 查看程序保护机制 $ checksec ./pwn #pwn为elf程序文件 0x01 CANNARY(栈保护) 这个选项表示栈保护功能有没有开启。 栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。 gcc在4.2版本中添加了-fstack-protector和-fstack-protector-all编译参数以支持栈保护功能,4.9新增了-fstack-protector-strong编译参数让保护的范围更广 因此在编译时可以控制是否开启栈保护以及程度,例如: $ gcc -fno-stack-protector -o test test.c #禁用栈保护 $ gcc -fstack-protector - o test test.c #启用堆栈保护,不过只为局部变量中含有char数组的函数插入保护代码 $ gcc -fstack-protector-all -o test test.c #启用堆栈保护,
99610编辑于 2024-01-30 - 来自专栏全栈程序员必看
开启QQ登录保护仍被盗号——QQ安全机制全面分析
腾讯QQ安全中心提供了登录保护机制,如图: 这是腾讯为QQ添加第二层保护,在开启登录保护后,盗号者偷走密码的情况下QQ仍然安全。 即使你的账号密码不小心泄露了,盗号者仍旧无法登录你的QQ。 但是,有位同学在开启QQ登录保护的情况下依然被盗号者登录成功了。 QQ登录保护的安全机制: 当我们开启了“登录保护”,盗号者登录QQ输入正确的密码,即使更换IP骗过了安全检测系统,会发现仍然需要验证密保手机短信里的数字验证码才能真正登录成功,由于手机随时带在我们的身边 要知道,当盗号者获取你的账号密码后,不一定就要登录QQ,还可以登录QQ邮箱、QQ空间、腾讯旗下的游戏等。这些应用往往没有像QQ那么强的安全保护,所以往往可以登录成功。 QQ邮箱网页版需用QQ安全中心扫描二维码登录: 当盗号者尝试登录QQ邮箱时,会出现以下信息: 当我们把所有的登录保护全部开启后,就算密码不小心泄露了也不用担心。
6.8K10编辑于 2022-06-28 - 来自专栏NetCore 从壹开始
【Ids4实战】分模块保护资源API
(毕竟西湖六月中) 书接上文,上回书咱们说到了IdentityServer4(下文统称Ids4)官方已经从v3更新升级到了v4版本,我的Blog.Idp项目也做了同步更新,主要是针对快速启动UI做的对应修改 ,毕竟Ids4类库nuget包更新就是一键的事儿,具体的升级内容可参考: 《【Ids4实战】最全的 v4 版本升级指南》 更新的内容涉及的比较多,主要是对一些属性的优化,亦或者是对ASP.NetCore 其中我个人认为最核心也最重要的一个更新,就是新增了ApiResourceScopes表,进一步细化了对资源服务器的限制颗粒度,总结来说: 之前我们是一个客户端只能针对一个资源服务器来操作,那该资源服务器下的所有api都会被保护 这里先不要着急的抬杠这么扩展的好处和优劣点,等到自己有需要,或者自己有这样的需求的时候就明白了,本文不做解释,只是一把梭的讲解如何配置三端,从而满足分模块保护资源API的目的。 我是这么想的,毕竟这个面向scope开发是可以在ids4可控的,细分到客户端的,这么配置好后,就不用配置复杂的数据库了,当然这一般都是针对前台的展示项目,后端Admin项目肯定需要很复杂的数据库配置更好
60120编辑于 2022-04-11 - 来自专栏Python小屋
Python+django网页设计入门(4):用户登录与登录验证
技术要点: 1)实现用户登录,登录后跳转到指定页面 2)限定一个页面必须登录才能访问,否则自动跳转到登录页面 ===================== 首先,按照Python+django网页设计入门 3、修改questions应用的views.py文件,实现用户登录。 ? 4、修改questions.py应用的views.py文件,使得用户登录之后才能访问check,如果尚未登录就自动跳转到登录页面。 ? 6、执行命令python manage.py runserver运行网站,使用浏览器打开http://127.0.0.1:8000/check,此时尚未登录,自动跳转到登录页面。 ? 7、输入正确的用户名和密码,单击登录按钮,跳转至http://127.0.0.1:8000/check页面并显示数据。 ?
3.4K30发布于 2018-11-08 - 来自专栏从零学习云计算
Spring Cloud学习(4)——服务容错保护Hystrix初研
在微服务架构中,若一个单元出现故障,很容易因为依赖关系引发故障的蔓延,最终导致整个系统的瘫痪,故需要断路器等一系列的服务保护机制。 com.example.ribbondemo.controller; import com.netflix.hystrix.contrib.javanica.annotation.HystrixCommand; import org.apache.log4j.Logger org.springframework.web.bind.annotation.RequestMethod; import org.springframework.web.bind.annotation.RestController; import org.apache.log4j.Logger
40930发布于 2019-05-29 - 来自专栏小神仙
abp集成IdentityServer4和单点登录
在abp开发的系统后,需要使用这个系统作单点登录,及其他项目登录账号依靠abp开发的系统。 在官方文档上只找到作为登录服务Identity Server Integration,但是host项目却无法使用登录服务生成的Token获取数据。 ---- 创建登录中心项目 到官网下载一个最新的模板项目,项目类型自选(我们项目用的vue,所以我选择的vue项目,.net core3.x)。保证可以运行起来并正常登录。 Startup文件加新增xxxModule文件,初始化登录中心项目,因为这个项目要用到abp的模块所以要添加module using Abp.Ids4; using Abp.Ids4.Configuration token就是从登录中心获取的了,其他客户端的对接按照使用Identity Server 4建立Authorization Server配置就可以 原文 参考资料 Identity Server Integration
5.5K31发布于 2020-02-13 - 来自专栏火属性小虫
SpringCloud进阶(4)–OAuth 2.0 实现单点登录
SpringCloud进阶(4)–OAuth 2.0 实现单点登录 在之前的文章中,我们曾学习过,使用Redis作为缓存,去存放session来实现分布式session,以此完成不同服务间的分布式权限校验 实际上我们称这种登录模式为多点登录。 即在一个服务上登录,并不能保证可以访问其他方法。 验证系统冗余:使用分布式session验证同时存在一个问题–每个服务都有自己的验证模块,但实际上,这个系统是存在冗余的。 那么能否实现只在一个服务进行登录,就可以访问其他服务的方法呢? 这里我们可以使用OAuth 2.0单点登录实现基于三方应用的访问用户信息权限。 4.授权码模式 这种模式是最安全的一种模式,也是推荐使用的一种,比如我们手机上的很多App都是使用的这种模式。
1.2K10编辑于 2024-01-18 - 来自专栏ECS服务器
微信H5+小程序登录 用户隐私保护指引设置
微信H5+小程序登录 第一步:开通微信用户隐藏功能 微信小程序平台:https://mp.weixin.qq.com/ 设置》基本设置》服务内容声明》 微信隐藏设置: 为了分辨用户,开发者将在获取你的明示同意后 为了登录或者注册,开发者将在获取你的明示同意后,收集你的手机号。 开发者使用你的通讯录(仅写入)权限,用于方便用户联系信息。 开发者收集你的设备信息,用于保障你正常使用网络服务。
2.4K20编辑于 2023-10-03 - 来自专栏用户8851537的专栏
Nginx环境使用auth_basic密码保护wordpress后台登录界面
说明:现在很多使用wordpress的人,或多或少都会出现后台被登录很多次的现象,运气不好就被进去了,通常大家都会通过修改wp-login文件来保护wordpress后台,但是这种方法有个不方便的地方就是每次 WP升级就又要重改一遍,感觉很麻烦,不过使用Nginx的auth_basic基本http验证功能可以保护web目录下的文件,于是我们就可以使用此文件来保护wp-login.php文件,效果就是进入后台之前
1.7K50发布于 2021-07-26 - 来自专栏逆向技术
保护模式-第4讲-段-段跨越段权限
目录 保护模式-第4讲-段-段跨越段权限 一丶段描述符 段选择子 等段特权级讲解 1.1 CPU层面的模式 1.2 CPL RPL DPL 讲解 1.2.1 CPL RPL DPL 介绍 1.2.2 CPL RPL DPL的检查 二丶代码跨段 3.1 代码跨段原理以及本质 3.1.1 原理及其本质 3.1.2 JMP Far CPU执行流程 3.1.3 总结 3.2 双机调试 代码跨段实验 三丶总结 保护模式 -第4讲-段-段跨越段权限 一丶段描述符 段选择子 等段特权级讲解 1.1 CPU层面的模式 这一点主要是了解下. 而保护模式下就不让你执行了. 原因就是 CPU分了等级了. 如果不是也不让你访问. 4.加载段描述符 当前三不执行过后.
1.4K30发布于 2020-07-07 - 来自专栏小黑在哪里
初识ABP vNext(4):vue用户登录&菜单权限
登录 菜单权限 运行测试 前言 上一篇已经创建好了前后端项目,本篇开始编码部分。 开始 几乎所有的系统都绕不开登录功能,那么就从登录开始,完成用户登录以及用户菜单权限控制。 登录 首先用户输入账号密码点击登录,然后组合以下参数调用identityserver的/connect/token端点获取token: { grant_type: "password", scope 可以这么做,如果有多个的话建议采用其他oidc方式,把认证界面放到identityserver程序里,客户端重定向到identityserver去认证,这样其实更安全,并且你无需在每个客户端网站都做一遍登录界面和逻辑 运行测试 运行前后端项目,使用默认账号admin/1q2w3E*登录系统: ? 正常的话就可以进入这个界面了: ? 最后 本篇实现了前端部分的登录和菜单权限控制,但是还有很多细节问题需要处理。
2.6K30发布于 2020-08-20 - 来自专栏python学习路
六、BeautifulSoup4------自动登录网站(手动版)
每天一个小实例:(按照教学视频上自动登录的网站,很容易就成功了。自已练习登录别的网站,问题不断) 这个自己分析登录boss直聘。 'randomKey':验证码携带的randomKey } 第三步、登录成功后,就可以做登录才可以做的事情,我想了想没什么可做的,就简单取点工作信息,这个不登录也行。 我就是练习练习 Beautiful Soup 1 import requests 2 from bs4 import BeautifulSoup 3 4 #第一步、先访问网站,分析一下登录需要什么数据 ,就可以做登录才可以做的事情,下面爬取得信息就算不登录也行,我就是练习练习 43 boss = session.get("https://www.zhipin.com/") 44 jobSoup =BeautifulSoup ) 15.创建标签 1 from bs4.element import Tag 2 3 4 obj = Tag(name='a',attrs={'id':'qqq','class':'djj
2.1K50发布于 2018-04-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号