- 综合排序
- 最热优先
- 最新优先
- 来自专栏Khan安全团队
通过GiHub 查找 API 密钥、令牌和密码
关键词: Passwords api_key “api keys” authorization_bearer: oauth auth authentication client_secret api_token: “api token” client_id password user_password user_pass passcode client_secret secret password hash OTP user auth
1.7K20编辑于 2022-05-17 - 来自专栏全栈程序员必看
动态令牌_创建安全令牌
窃取共享密钥的攻击者可以随意生成新的有效 TOTP 代码。如果攻击者破坏了大型身份验证数据库,这可能是一个特殊问题。 不同厂家使用的时间步数不同: 阿里巴巴的身份宝使用的时间步数是 60 秒; 宁盾令牌使用的时间步数是 60 秒; Google 的身份验证器的时间步数是 30 秒; 腾讯的 Token 时间步数是 ; 算法必须使用 HOTP 作为其关键实现环节; 客户端和服务器端必须使用相同的步长 X; 每一个客户端必须拥有不同的密钥; 密钥的生成必须足够随机; 密钥必须储存在防篡改的设备上,而且不能在不安全的情况下被访问或使用 False 4.5、使用场景 服务器登录动态密码验证(如阿里云ECS登录,腾讯机房服务器登录等); 公司VPN登录双因素验证; 网络接入radius动态密码; 银行转账动态密码; 网银、网络游戏的实体动态口令牌 4.6、市面上基于 HOTP 的产品 宁盾令牌 阿里巴巴的身份宝 Google 的身份验证器(google-authenticator) 4.7、Google 基于 TOTP 的开源实现 https:
2.3K40编辑于 2022-11-17 - 来自专栏Khan安全团队
令牌模拟
但是为什么我们会对从系统中的特定进程或线程中窃取令牌感兴趣呢? 快速而简短的答案是提升权限并执行使用当前令牌无法执行的操作,或者横向移动到网络上的另一台计算机。 能够窃取令牌的通用公式通过: 访问远程进程(Winapi Openprocess调用)。 访问您的令牌。 在我们正在运行的进程的当前线程上设置该令牌,即模拟。 同样,我们有第二个打开令牌的示例。 如果这个线程没有提供关联的令牌,而是模拟进程的主令牌或主令牌(O_o)。奢侈品,对吧? 我们没有成功的原因是管理员组没有使用令牌的权限,所以只需从任何允许它并模拟它的系统进程中窃取令牌就足够了,然后采取行动使用新身份执行对ImpersonateLoggedOnUser()的新调用。
1.7K10编辑于 2022-01-18 - 来自专栏MyTechnology
访问令牌JWT
访问令牌的类型 By reference token(透明令牌),随机生成的字符串标识符,无法简单猜测授权服务器如何颁 发和存储资源服务器必须通过后端渠道,发送回OAuth2授权服务器的令牌检查端点,才能校验令牌 (issuer) ,期望的接收人aud(audience) ,或者scope,资源服务器可以在本地校验令牌,通常实现为签名的JSON Web Tokens(JWT) JWT令牌 JWT令牌是什么 JWT 是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 JWT令牌未来趋势 1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用该令牌再次对其进行加密。 2、当JWT未加密时,一些私密数据无法通过JWT传输。 4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
2.5K21发布于 2020-08-02 令牌网络效应
令牌网络效应 随着分散式网络和区块链的引入,现在的景象已经发展到包括我所称的“令牌网络效应”。 Joel Monego写了关于脂肪协议的文章,解释了令牌如何激励协议的采用。 “令牌网络使网络参与者一起致力于一个共同的目标 —— 网络的增长和令牌的增值。” ——Chris Dixon 341852200769254116.jpg 令牌网络效应 当网络的增长与令牌的升值一致时,会出现令牌网络效应。 生态系统中的每个参与者如今都可以调整以增加令牌的价值。 随着对令牌供不应求的现象产生,这种现象会增加令牌的价值,随即会提升令牌的价格。 新的投资者增加了令牌的需求,从而抬高了令牌的价格。 这导致项目开发速度加快10倍。通过分散的自治组织(DAO),令牌现在允许项目与数百万营销人员,数千名开发人员和数百名企业家合作。
2.3K50发布于 2018-03-20- 来自专栏Java后端
JWT令牌详解
;import java.util.Date;import java.util.HashMap;import java.util.Map;public class JwtTest { // 密钥( 、密钥错误 } }}⚠️ 异常处理非常重要! https://jwt.io在左侧输入你的 JWT 令牌在 VERIFY SIGNATURE 区域输入密钥(SECRET_KEY)右侧将自动显示解码后的 Header、Payload 和签名验证状态✅ 六、JWT 使用注意事项与最佳实践✅ 正确做法项目建议密钥管理使用强密钥(至少 32 字符),不要硬编码,应配置在 application.yml 或环境变量中传输安全必须使用 HTTPS 传输 JWT localStorage,需防范 XSS过期时间设置合理过期时间(如 2h),配合 Refresh Token 实现自动续期敏感信息不要在 JWT 中存放密码、手机号等敏感信息❌ 避免的坑❌ 使用弱密钥
1.6K20编辑于 2025-08-14 - 来自专栏look Java
JWT 访问令牌
本文采用的是自包含令牌 二、JWT令牌的介绍 1、什么是JWT令牌 JWT是JSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。 { "alg": "HS256", "typ": "JWT" } 在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为 作为令牌的JWT可以放在URL中(例如api.example/?token=xxx)。 生成原始令牌后,可以使用该令牌再次对其进行加密。 2、当JWT未加密时,一些私密数据无法通过JWT传输。 3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。 4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
1.4K10编辑于 2023-12-07 - 来自专栏全栈程序员必看
简单令牌桶实现
主要思路: 1.创建channel,通过定时器定时往channel中写入令牌,返回令牌桶本身(channel); 2.判断请求是否可以拿到令牌; package main import ( "context *bucket: return true default: return false } } } // 模拟qps 100, 超时等待时间为1s,模拟1000个请求进来 // 令牌桶最大每秒产生 30个令牌,最大突发为50(桶最大容量) func test1() { bucket, ticker := getBucket(30, 50) i := 0 total := 0 fail := time.Sleep(time.Second * 20) fmt.Println(i, total, fail) } // 模拟qps 100, 超时等待时间为1s,模拟1000个请求进来 // 令牌桶最大每秒产生 30个令牌,最大突发为50(桶最大容量) func test2() { bucket, ticker := getBucket(30, 50) i := 0 total := 0 fail :=
61410编辑于 2022-09-06 - 来自专栏JAVA乐园
密钥用法 增强密钥用法 证书类型
密钥用法: 数字签名 Digital Signature 认可签名 Non Repudiation 密钥加密 key Encipherment 数据加密 Data Encipherment 密钥协商 key =digitalSignature extendedKeyUsage=codeSigning (3)计算机 密钥用法:数字签名,密钥协商 增强密钥用法:服务器验证,客户端验证 keyUsage= extendedKeyUsage=serverAuth (5)客户端 密钥用法:数字签名,认可签名,密钥加密,数据加密 增强密钥用法:客户端验证 keyUsage=digitalSignature :信任列表签名 keyUsage=digitalSignature extendedKeyUsage=msCTLSign (7)时间戳 密钥用法:数字签名,认可签名,密钥加密,数据加密 增强密钥用法 ,密钥协商,仅仅解密 增强密钥用法:密钥恢复,加密文件系统,智能卡登陆 keyUsage=digitalSignature,keyAgreement,decipherOnly extendedKeyUsage
2.9K30编辑于 2022-06-30 - 来自专栏全栈程序员必看
登录令牌 Token 介绍
Token值介绍 token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 MD5 加密之后的长字符串.
1.7K20编辑于 2022-07-08 - 来自专栏Java基础
JWT 令牌生成报错
一、问题描述 我在获取JWT令牌时,报了一个这样的错误 error:io.jsonwebtoken.security.WeakKeyException: The signing key's size is 二、问题原因 原因是我这里指定的签名密钥也就是signingKey,也就是‘cehgnxuyuan’这个字符串长度太短了,不符合HS256加密算法的密钥长度规则 三、问题解决 只需要将‘chengxuyuan ’这个字符串换成一个比较长的即可 运行看下效果,获取JWT令牌成功 还好最后解决了,一个小小的问题花了我好长时间,不过报错也是好事,提前知道了一个问题的解决方式
36510编辑于 2025-08-28 - 来自专栏数安视界
非对称密钥沉思系列(4):密钥交换
密钥交换的概念密钥交换,也有称作密钥协商,这套机制,最主要的作用是用来得到通信双方的临时会话密钥。这里的临时会话密钥,可以理解为对称加密的密钥,只不过他的有效性仅限于一次会话链接,并不是长期有效的。 因此在实际的工程化上,一般使用非对称密钥进行数据密钥的协商与交换,而使用数据密钥与对称加密算法进行数据流的加解密保护。 基于RSA的密钥交换简单的密钥交换过程基于RSA进行密钥交换,基于非对称密钥的两个基本特性:使用公钥加密、私钥解密,且此过程无法逆向公钥是对外公开的,私钥是私密不公开的客户端与服务端在简单的密钥交换场景中 图片客户端是密钥生成的决定方在基于RSA的密钥交换体系中,总是由客户端来生成密钥。 RSA可以用来传输信息,DH更适合用来协商密钥。DH算法解决了密钥在双方不直接传递密钥的情况下完成密钥交换,这个神奇的交换原理完全由数学理论支持。
8.3K11319编辑于 2023-01-04 - 来自专栏程序那些事
密钥详解
其他密钥分类 上面的四种是按照加密方式和使用用途来分的,其实安装密钥的使用次数可以分为会话密钥和主密钥。 会话密钥是只用在一个会话中的密钥,用完之后就废弃不用了,而主密钥是固定的密钥,一直重复使用的密钥。 另外安装加密对象是内容还是密钥,我们可以分为加密消息的密钥(CEK)和加密密钥的密钥(KEK)。加密消息的密钥很好理解,之前的对称密钥和公钥密钥就是CEK。 而加密密钥的密钥主要是为了减少密钥的保存个数。 密钥的管理 我们主要从下面几个方面来讲解密钥的管理: 生成密钥 生成密钥有两种方式,使用随机数和使用口令。 保存密钥 学过区块链的应该都知道有个纸密钥的东西,实际上就是把密钥写在纸上进行保存。 当密钥太多的话,离线保存密钥也成了一个非常困难的工作。这时候就可以使用到密钥的密钥KEK。将这些密钥加密后保存。
2.8K30发布于 2020-07-08 - 来自专栏JusterZhu
Web通用令牌JwtBuilder
令牌具有有效期,一般2小时过期。应用服务器遇到过期令牌时,应该拒绝提供服务。 SSO用户中心实际上颁发两个令牌,访问令牌用于访问各应用服务器,刷新令牌用于在令牌过期之前请求SSO刷新令牌。 示例详解 JwtBuilder设置Secret密钥后(默认算法HS256),通过Encode编码匿名对象数据,得到JWT令牌。 解码时只需要设置密钥,然后TryDecode即可,TryDecode返回JWT令牌验证是否通过,如果不通过,message输出参数指示错误内容。 Assert.Equal("0201", builder2.Subject); Assert.Equal("stone", builder2["name"]); ES512扩展 HS512安全性不够,RS512密钥太长导致令牌也很长 应用颁发令牌给多个第三方使用时,安全起见不能把HS512密钥给对方,此时推荐使用ES512,安全性很高,并且令牌长度远比RS512要短,(但比HS512要长一些)。
1.2K10编辑于 2022-12-07 - 来自专栏红队蓝军
域内令牌窃取
本文就通过令牌窃取进行研究,并希望知道其中的具体细节。 ID,用于标识令牌 指示令牌是主令牌还是模拟令牌的令牌类型 令牌的安全上下文,如果令牌是模拟令牌(这就是此字段对于主要令牌为空的原因)。 ,创建它的人 令牌关联的用户 可使用DuplicateTokenEx去复制一个令牌 BOOL DuplicateTokenEx( [in] HANDLE 我们不使用他 ImpersonateLoggedOnUser BOOL ImpersonateLoggedOnUser( [in] HANDLE hToken ); 可以直接将复制域管权限的令牌传入 ,在执行RevertToSelf函数之前都会以模拟令牌的权限进行运行 假设我们此时模拟了域管权限,即可添加一个域内账户(域管账户) 这个代码实际就是通过ImpersonateLoggedOnUser
1.6K20编辑于 2023-02-25 - 来自专栏全栈程序员必看
windows10产品密钥永久(windows激活密钥)
使用Windows Key Viewer一键轻松查看当前计算机的产品密钥。 查看当前计算机的产品密钥偶尔需要用到,分享给大家。 软件介绍 通过使用Windows Key Viewer,可以轻松确定当前的计算机产品密钥。 在某些情况下,例如在重新安装计算机时,了解产品密钥非常重要。 这就是Windows Key Viewer变得有用的时候,因为可以轻松显示产品密钥。 Windows操作系统存储产品密钥,但是由于此数据已加密,因此无法直接显示它。 Windows密钥查看器可以以其原始格式显示Windows产品密钥。 Windows Key Viewer的优点: 1.以原始格式显示Windows产品密钥 2.将Windows产品密钥复制到剪贴板 3.不需要安装或设置 4.免费使用 5.它支持Windows 7/8/10
7.5K10编辑于 2022-07-28 - 来自专栏神奇的程序员的专栏
共享密钥加密与公开密钥加密
前言 加密数据的方法可以分为两种:加密和解密都使用相同密钥的“共享密钥加密”和分别使用不同密钥的“公开密钥加密”。 ❝使用共享密钥加密时,如果接收方不知道密钥是什么,发送方就要通过互联网发送密钥给接收方,此时密钥可能会被第三者监听,这就是共享密钥加密最大问题的所在。 ❞ 解决方案 如上所述,共享密钥加密存在密钥送达问题,想要解决这个问题,我们可以使用“密钥交换协议”和“公开密钥加密”两种方法。 ❞ 中间人攻击 公开密钥加密存在公开密钥可靠性的问题,B在给A发送公开密钥时,可能会被第三者拦截到这个公开密钥,第三者拿到公开密钥后,保存到本地,自己重新生成一个新的公开密钥发送给A,A使用第三者的公开密钥加密数据后 我们回到B生成公开密钥和私有密钥的时候,我们用PB表示公开密钥,SB表示私有密钥。 X想要窃听A发送给B的数据,于是他准备了公开密钥PX和私有密钥SX。
3.5K30编辑于 2022-04-10 - 来自专栏韩曙亮的移动开发专栏
【计算机网络】网络安全 : 对称密钥分配 ( 密钥分配 | 密钥分配中心 KDC | 对称密钥分配 | 密钥分配协议 | Kerberos 协议 )
文章目录 一、密钥分配 二、密钥分配中心 三、对称密钥分配 四、对称密钥分配说明 五、密钥分配协议 六、Kerberos 协议工作流程 七、Kerberos 协议要求 一、密钥分配 ---- 密钥分配 : ① 网络安全 : 密码算法 是公开的 , 网络安全 基于 对密钥的安全管理 ; ② 密钥管理 : 密钥 的 产生 , 分配 , 注入 , 验证 , 使用 ; ③ 密钥分配 : 是管理中的最重要的问题 , 密钥需要通过 安全通道 进行分配操作 ; ④ 密钥分配方式 : 网外分配方式 : 信使 携带 密钥 , 分配给互相通信的用户 ; ( 不再适用 ) 网内分配方式 : 密钥系统 自动分配 ; ( 推荐使用 ; ② 申请密钥 : A 向 KDC 发送明文 A , B , 申请与 B 通信的密钥 ; ③ KDC 向 A 回送信息 : 会话密钥 : KDC 产生 一次性 会话密钥 K_{AB} , 该密钥时 : KDC 中分配给用户的 主密钥 , 需要定期更换 , 降低破译的概率 ; 主密钥都是加密密钥 , 解密密钥由各自保存 ; ③ 会话密钥有效期 : 临时会话的密钥 K_{AB} 仅在本次临时会话中有效
7.8K00编辑于 2023-03-28 - 来自专栏crmeb
linux 密钥登录
创建公钥和私钥使用命令: ssh-keygen -t rsa -b 4096 -C “youremail@qq.com”指定密钥类型,默认是 rsa,可以省略。设置注释文字,比如邮箱。 指定密钥文件存储文件名。 将 SSH 密钥添加到 ssh-agent;备用地址 : https://help.github.com/articles/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agenteval
6.6K20编辑于 2022-06-21 - 来自专栏全栈程序员必看
vs2012密钥_ultimate2012产品密钥
Microsoft Visual Studio Ultimate 2012 旗舰版 有效注册密钥:YKCW6-BPFPF-BT8C9-7DCTH-QXGWC;KCW6-BPFPF-BT8C9-7DCTH-QXGWC
3.7K10编辑于 2022-11-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号