Als «authorization» getaggte Fragen


1
SOA / Microservices: Wie gehe ich bei der dienstübergreifenden Kommunikation mit Autorisierungen um?
Vordergrund Wir wechseln von einer monolithischen Plattform zu einer serviceorientierteren Architektur. Wir wenden sehr grundlegende DDD-Prinzipien an und teilen unsere Domäne über verschiedene begrenzte Kontexte auf. Jede Domain wird verteilt und macht einen Service über eine Web-API (REST) ​​verfügbar. Aufgrund der Art unseres Geschäfts haben wir Dienstleistungen wie Buchungen , …

2
Soll ich meine Benutzeransprüche im JWT-Token speichern?
Ich verwende JWT-Token in HTTP-Headern, um Anforderungen an einen Ressourcenserver zu authentifizieren. Der Ressourcenserver und der Authentifizierungsserver sind zwei separate Arbeiterrollen in Azure. Ich kann mich nicht entscheiden, ob ich die Ansprüche im Token speichern oder auf andere Weise an die Anfrage / Antwort anhängen soll. Die Anspruchsliste wirkt sich …

1
Speicherort eines API-Schlüssels: Ein benutzerdefinierter HTTP-Header im Vergleich zum Authorization-Header mit einem benutzerdefinierten Schema
Ich entwerfe eine REST-API mit Autorisierung / Authentifizierung über einen API-Schlüssel. Ich habe versucht, herauszufinden, was der beste Ort dafür ist, und habe herausgefunden, dass viele Leute die Verwendung eines benutzerdefinierten HTTP-Headers vorschlagen, wie zum ProjectName-Api-KeyBeispiel: ProjectName-Api-Key: abcde es ist aber auch möglich und ideologisch korrekt, den AuthorizationHeader mit einem …

2
Implementieren von DDD: Benutzer und Berechtigungen
Ich arbeite an einer kleinen Anwendung, um die Prinzipien des domänengetriebenen Designs zu verstehen. Bei Erfolg könnte dies ein Pilotprojekt für ein größeres Projekt sein. Ich versuche, dem Buch "Implementing Domain-Driven Design" (von Vaughn Vernon) zu folgen und ein ähnliches, einfaches Diskussionsforum zu implementieren. Ich habe mir auch die IDDD-Samples …

5
Autorisierungs- und Authentifizierungssystem für Mikrodienste und Verbraucher
Wir planen, unser Unternehmenssystem in ein auf Mikroservices basierendes System umzugestalten. Diese Mikrodienste werden von unseren firmeninternen Anwendungen und bei Bedarf von Drittanbietern genutzt. Eins für Buchung, eins für Produkte etc. Wir sind uns nicht sicher, wie wir mit Rollen und Bereichen umgehen sollen. Die Idee ist, drei grundlegende Benutzerrollen …

2
Wie entwerfe ich eine rollenbasierte Zugriffssteuerung?
Ich versuche, dem Zugriffssteuerungsmodell der Rollenbasis zu folgen, um einzuschränken, was Benutzer in meinem System tun können oder nicht. Bisher habe ich folgende Entitäten: Benutzer - Personen, die das System verwenden. Hier habe ich Benutzernamen und Passwörter. Rollen - Sammlung von Rollen, die Benutzer haben können. Dinge wie Manager, Administrator …

8
Bestrafung von Benutzern für unsichere Passwörter [geschlossen]
Aus heutiger Sicht passt diese Frage nicht zu unserem Q & A-Format. Wir erwarten, dass die Antworten durch Fakten, Referenzen oder Fachwissen gestützt werden, aber diese Frage wird wahrscheinlich Debatten, Argumente, Abstimmungen oder erweiterte Diskussionen hervorrufen. Wenn Sie der Meinung sind, dass diese Frage verbessert und möglicherweise erneut geöffnet werden …

2
Benutzerautorisierung mit Microservices
Sollten Microservices für die Abwicklung ihrer eigenen Autorisierung verantwortlich sein, oder ist es Ihrer Meinung nach besser, einen separaten Autorisierungsdienst zu haben, der für alle oder eine Teilmenge (innerhalb derselben Geschäftsdomäne) von Microservices gemeinsam genutzt wird? Letzteres ist für mich sinnvoller, da es einfacher ist, Änderungen anzuwenden und Richtlinien durchzusetzen. …

1
Unterschied zwischen 'aud' und 'iss' in jwt
Ich möchte einen robusteren Authentifizierungsdienst implementieren und jwtist ein großer Teil meiner Arbeit. Ich verstehe, wie der Code geschrieben wird, aber ich habe ein wenig Probleme, den Unterschied zwischen reservierten issund audbeanspruchten Ansprüchen zu verstehen . Ich verstehe, dass der eine den Server definiert, der das Token ausgibt, und der …

2
Cookie vs. Session vs JWT
Ich lese über Authentifizierung / Autorisierung in Webanwendungen. Könnte jemand mein aktuelles Wissen bestätigen / korrigieren? Cookies: In ihrer frühen Version eine Textdatei mit einer eindeutigen Client-ID und allen anderen Informationen, die über den Client benötigt werden (z. B. Rollen). Sitzung: In einer Datei (auch Cookie genannt) wird nur die …

2
Imitieren von "RBAC AuthZ" von Exchange Server in meiner eigenen Anwendung ... (gibt es etwas Ähnliches?)
Exchange 2010 verfügt über ein Delegierungsmodell, bei dem Gruppen von WinRM- Cmdlets im Wesentlichen in Rollen gruppiert und die Rollen einem Benutzer zugewiesen werden. ( Bildquelle ) Dies ist ein großartiges und flexibles Modell, wenn man bedenkt, wie ich alle Vorteile von PowerShell nutzen kann, während ich die richtigen Low-Level-Technologien …

2
Auth-Optionen für verteilte Systeme
Ich bin dabei, 3 Komponenten zu entwerfen, die in Symphonie miteinander arbeiten: Ein RESTful-Webdienst, der BasicAuthbei allen Anrufen über HTTPS erfordert und der tatsächlich das ganze schwere Heben für mein System erledigt (erledigt die Arbeit). Eine Web-Benutzeroberfläche, die Endbenutzeraktionen in API-Aufrufe an den oben genannten Webdienst übersetzt. Daher wird die …

3
Authentifizierung über Token
Ich bin relativ neu in jwt.io und der Authentifizierung und verwende JWT.io auf folgende Weise. Serverseite Sobald sich der Benutzer anmeldet, generiere ich ein Token mit userideingebettetem Inhalt und gebe es an den Benutzer im Nachrichtentext zurück Client Side Browser / JS Ich speichere das Token in localStorage und übergebe …

3
Beste Lösung, um zu autorisieren, dass ein Benutzer nur mit seinen eigenen Ressourcen in einer REST-API ändern / handeln darf
Hintergrund: Derzeit wird eine REST-API unter Verwendung des Knotens w / express erstellt, die von einer mobilen App und schließlich einer (modernen browserbasierten) Website verwendet wird. Ich versuche herauszufinden, wie die Aktualisierungs- / Aktionsanforderung eines Benutzers am besten autorisiert werden kann, damit er nur seine eigenen Ressourcen ändern kann. Die …
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.