В данном туториале мы кратко разберем, как реализовываются REST-запросы к API, требующие, чтобы пользователь был авторизован, и создадим асинхронную «обертку» для запроса, которая будет проверять авторизацию и своевременно ее обновлять.Читать полностью »
Рубрика «авторизация» - 2
Token, refresh token и создание асинхронной обертки для REST-запроса
2019-06-15 в 12:45, admin, рубрики: ECMAScript, fetch, javascript, rest api, token, авторизацияНе умничайте с формами для входа
2019-02-19 в 20:25, admin, рубрики: авторизация, веб-дизайн, интерфейсы, логин, менеджеры паролей, Разработка веб-сайтов, форма входаВ последнее время меня начинает сильно раздражать авторизация на сайтах. Поскольку менеджеры паролей становятся более популярными, такие как 1Password (который я использую) и менеджер паролей Chrome (который я тоже использую), веб-сайтам важно учитывать этот факт.
Давайте рассмотрим некоторые шаблоны входа в систему, которые на мой взгляд не идеальны. А затем рассмотрим лучшие практики. TL;DR; Это страницы авторизации, которые просты, предсказуемы, на обычных страницах и дружат с менеджерами паролей.
Читать полностью »
Насколько безопасно использовать R пакеты для работы с API рекламных систем
2018-11-26 в 7:45, admin, рубрики: api, API Facebook, API MyTarget, API Яндекса, R, R пакеты, авторизация, аутентификация, безопасность, интернет-маркетинг, информационная безопасность, контекстная рекламаПоследнее время мне довольно часто стали задавать вопрос о том, насколько безопасно использовать различные готовые расширения, т.е. пакеты, написанные для языка R, есть ли вероятность того, что рекламный аккаунт попадёт в чужие руки
В этой статье я подробно расскажу о том, как устроен механизм авторизации внутри большинства пакетов и API интерфейсов рекламных сервисов, и о том, как использовать приведённые в статье пакеты максимально безопасно.
Понимаем RBAC в Kubernetes
2018-09-11 в 7:04, admin, рубрики: devops, kubernetes, rbac, авторизация, Блог компании Флант, Серверное администрирование, системное администрированиеПрим. перев.: Статья написана Javier Salmeron — инженером из хорошо известной в Kubernetes-сообществе компании Bitnami — и была опубликована в блоге CNCF в начале августа. Автор рассказывает о самых основах механизма RBAC (управление доступом на основе ролей), появившегося в Kubernetes полтора года назад. Материал будет особенно полезным для тех, кто знакомится с устройством ключевых компонентов K8s (ссылки на другие подобные статьи см. в конце).
Слайд из презентации, сделанной сотрудником Google по случаю релиза Kubernetes 1.6
Многие опытные пользователи Kubernetes могут вспомнить релиз Kubernetes 1.6, когда авторизация на основе Role-Based Access Control (RBAC) получила статус бета-версии. Так появился альтернативный механизм аутентификации, который дополнил уже существующий, но трудный в управлении и понимании, — Attribute-Based Access Control (ABAC). Все с восторгом приветствовали новую фичу, однако в то же время бесчисленное число пользователей были разочарованы. StackOverflow и GitHub изобиловали сообщениями об ограничениях RBAC, потому что большая часть документации и примеров не учитывали RBAC (но сейчас уже всё в порядке). Эталонным примером стал Helm: простой запуск helm init + helm install больше не работал. Внезапно нам потребовалось добавлять «странные» элементы вроде ServiceAccounts или RoleBindings ещё до того, как разворачивать чарт с WordPress или Redis (подробнее об этом см. в инструкции).Читать полностью »
Разработка мультитенантных приложений на SAP Cloud Platform в среде Neo, часть 2: авторизация и аутентификация
2018-08-11 в 5:37, admin, рубрики: sap, sap cloud platform, авторизация, Администрирование баз данных, аутентификация пользователей, Блог компании SAP, разработка приложенийВо второй статье из цикла про разработку приложений на SAP Cloud Platform в среде Neo мы затронем один из самых важных аспектов — управление авторизацией и аутентификацией пользователей.
В этой статье мы покажем, как установить связь между SAP Cloud Platform и провайдером идентификаций (IDP) воображаемого клиента «ABC PetroCorp», а также добавим пользователей в IDP. Далее мы рассмотрим, как назначить роли для пользователей из компании клиента в конкретном приложении (из IDP), а также — как настроить атрибуты SAML для их передачи из IDP в приложение облачной платформы SCP.
Читать полностью »
Локальная авторизация без пароля в Ubuntu
2018-07-09 в 7:49, admin, рубрики: Ubuntu, unity, авторизация, Блог компании Акрибия, информационная безопасность, уязвимость
Сегодня поговорим о том, как мы нашли локальную авторизацию без пароля в Ubuntu, которая, похоже, никогда не будет закрыта. Как всё происходило, читайте под катом.
Читать полностью »
Как я писал логин по протоколу SRP6a на Python, а получил… JavaScript и Python в одной коробке
2018-06-10 в 10:55, admin, рубрики: python, srp, srp-6, srt, srt6, авторизация, аутентификация, информационная безопасность, парольная защита, передача данных, ПрограммированиеБольшое и увлекательное путешествие начинается с простого и банального шага. Когда мне на работе понадобилось реализовывать процесс логина для набора автоматизированных тестов, я даже не представлял, куда это приведет.
Дальше в статье вы узнаете, как доказать, что вы знаете пароль, ни разу не передав его в каком бы то ни было виде (доказательство с нулевым разглашением), и как я спотыкался на готовых примерах, чтобы получить работающий код на Python в конце пути.
ОТКАЗ ОТ АВТОРИТЕТНОСТИ: Я программирую на Питоне не очень давно, потому, вещи о которых я расскажу, и ошибки, которые я совершал могут показаться вам тривиальными.
Я тебе конечно верю, разве могут быть сомненья?
Я и сам всё это видел, это наш с тобой секрет
Для начала, если вы не знаете о незаслуженно мало упоминаемом протоколе SRP-6a тот вамобязательно надо ознакомиться с замечательной статьей на Хабре и крайне подробная англовики.
Читать полностью »
Авторизуем ресурсы в REST-сервисе
2017-11-09 в 7:18, admin, рубрики: .net, api, ASP, rest, rest api, авторизацияВ мире ASP.NET существуют мощные и гибкие механизмы авторизации. Например, ASP.NET Core 2.0 предоставляет разработчику возможность использования политик авторизации, обработчиков и т.д.
Но как реализовать метод GET, возвращающий список ресурсов? А если этот метод к тому же должен возвращать не все ресурсы, а лишь специфицированную страницу? Каждый пользователь должен видеть только те ресурсы, к которым у него есть доступ. Можно получать из базы каждый раз полный список и затем фильтровать его на основе прав текущего пользователя, но это будет слишком неэффективно – количество ресурсов может быть очень велико. Предпочтительно решать вопросы авторизации и разбиения на страницы на уровне запроса к базе данных.
В этой статье описывается подход к решению проблемы авторизации в REST сервисе на базе ASP.NET Web API 2 с использованием Entity Framework.
Читать полностью »
Пять простых шагов для понимания JSON Web Tokens (JWT)
2017-10-15 в 19:15, admin, рубрики: oauth, авторизация, информационная безопасность, Программирование, Разработка веб-сайтов, токены
Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT). В этой статье будет рассказано о том, что из себя представляют JSON Web Tokens (JWT) и с чем их едят. То есть какую роль они играют в проверке подлинности пользователя и обеспечении безопасности данных приложения.
Предъявите паспорт. Часть 1
2017-08-18 в 11:33, admin, рубрики: авторизация, Альфа-Банк, альфа-паспорт, Блог компании «Альфа-Банк», веб-дизайн, дизайн, дизайн мобильных приложений, прототипированиеЭтот проект выполнен в соавторстве с Митей Теряевым — талантливым frontend-разработчиком.
Что такое Паспорт и зачем он нужен?
Задача нашей команды — простой и безопасный онлайн-доступ ко всем сервисам банка. Со стороны клиента это кажется вполне очевидным. Например, после авторизации в едином аккаунте Google пользователю доступны все сервисы компании. И это нормально и правильно — зачем заново входить в Диск, Документы, Музыку или Заметки, если ты уже успешно залогинился в Почте?
«Юрики» (Альфа-Бизнес), «физики» (розница), «зарплатники» (Альфа-Зарплата) — независимые системы, которые делали разные команды, оторванные друг от друга.
Прошли годы…
Читать полностью »