背景 当我们要使用一个网站的功能时,一般都需要注册想用的账号.现在的互联网应用很多,一段时间之后你会发现你注册了一堆账号密码,根本记不住. 你可能会想到所有的网站都用同一套用户名和密码,这样虽然能解决账号管理的问题,但也加大了账号密码泄露的风险. 虽然,现在的网站有提供短信验证码登录技术,但是今天我们要聊的是一个比较"古老"的技术--OpenID,看看之前的技术是怎么解决密码太多不便于管理的问题的. 写这篇文章的目的更多的是兴趣使然,因为实践过程中不太可能会单纯的使用OpenID登录,…

OpenID使用手册 摘要: OpenID是一种开放.离散式的用于用户数字标识的开源框架.在网络应用日益充斥的今天,作为终端用户的我们不得不在每个网站上设置帐号,并管理众多的帐号.而采用OpenID技术的话,你就无须再管理这些相互独立的帐号,而是通过认证服务器管理自己唯一的身份标识.本文将详细解释OpenID技术框架以及如何使用Java进行开发. OpenID使用手册作者:cleverpig 什么是OpenID?OpenID是一种开放.离散式的用于用户数字标识的开源框架.请让我们思考自己所拥有的…

目录 简介 OpenId Implicit Flow 创建onelogin的配置 页面的运行和请求流程 关键代码 总结 简介 onelogin支持多种OpenId Connect的连接模式,上一篇文章我们讲到了使用openId的Authentication Flow,今天我们将会讲解一下如何使用Implicit Flow. OpenId Implicit Flow Implicit Flow也叫做隐式授权 上图就是一个隐式授权的例子,和Authorization Code模式不同的是,认证服务器…

当互联网应用越来越多,每个应用程序都实现了自己的身份存储.认证和授权,用户需要在应用上反复的注册与登录,体验糟糕,用户身份信息无法在多个应用间共享与同步.当使用企业应用时,企业提供了一系列应用,尽管是同一用户操作,但还是不得不切换注册与登录. 是否可以有那么一种方式,我在某个代理网站注册一个账号,如果登录其他网站时,其他网站可以到代理网站去获取信息.只要代理网站足够富有生命力,那么总是可以省略很多乏味的注册登录流程. 这些想法在技术的发展过程中出现了,如WS-Federation.SAML2.0…

[文章来源:http://r-j-r-a5438-163-com.iteye.com/blog/611351] 在项目中使用了openid4java进行开发,在开发过程中碰到过一些问题,在网上也找了很久仍然没有答案,最后通过查看原码才把问题解决,希望在此记录能帮助后来者. 1.推荐http://code.google.com/p/openid4java ,在这上面能下到源码及一些常用的使用说明. 2.转载一片开发过程中参考的文章: OpenID4Java现在实现了OpenID1.1和OpenID…

业务场景: IdentityServer4 默认使用TestUser和UserStore,需要模拟和加载所有的用户数据,正式环境肯定不能这样实现,我们想从自己的数据库中读取用户信息,另外,因为 IdentityServer4 实现了 OpenId 协议,我们想在用户登录的时候,在请求中添加用户的一些额外信息,这样就不需要再去请求用户服务了. 具体实现: using IdentityServer4.Models; using IdentityServer4.Services; using Syst…

Cross-Site Request Forgery(CSRF),中文一般译作跨站点 请求伪造.经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三.与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大. 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header.鉴于种种原因,这三种方法都不是那么完美,各有利弊. 二 CSRF的分类 在跨站请…

翻译者:Fireweed 原文链接:http://seclab.stanford.edu/websec/ 一 .什么是CSRF Cross-Site Request Forgery(CSRF),中文一般译作跨站请求伪造.经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三.与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大. 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHt…

CSRF漏洞详细说明 通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header.鉴于种种原因,这三种方法都不是那么完美,各有利弊. 二 CSRF的分类 在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性.而浏览器的安全策略是允许当前页面发送到任何地址的请求,因此也就意味着当用户在浏览他/她无法控制的资源时,攻击者可以控制页面的内容来控制浏…

Kubernetes 安全之访问控制 本文将主要分享以下三方面的内容: Kubernetes API 请求访问控制 Kubernetes 认证 Kubernetes RBAC Security Context 的使用 Kubernetes API 请求访问控制 访问控制 大家都知道访问控制是云原生中的一个重要组成部分.也是一个 Kubernetes 集群在多租户环境下必须要采取的一个基本的安全架构手段. 那么在概念上可以抽象的定义为谁在何种条件下可以对什么资源做什么操作.这里的资源就是在 Kub…