שְׁאֵלָה:
מדוע נדרש 'נושא' לפני האסימון בכותרת 'הרשאה' בבקשת HTTP?
Anmol Gupta
2015-12-21 13:20:48 UTC
view on stackexchange narkive permalink

מה בדיוק ההבדל בין שתי כותרות הבאות: 

  הרשאה: נושא cn389ncoiwuencr לעומת אישור: cn389ncoiwuencr

כל המקורות שעברתי, מגדיר את הערך של כותרת 'הרשאה' כ- 'נושא' ואחריו האסימון בפועל. עם זאת, לא הצלחתי להבין את המשמעות של זה. מה אם פשוט אשים את האסימון בכותרת ההרשאה?

ישנן שיטות אחרות לאימות http, כמו [basic] (https://en.wikipedia.org/wiki/Basic_access_authentication) או [digest] (https://en.wikipedia.org/wiki/Digest_access_authentication). אני מניח שזה נחמד להיות מסוגל להבחין ביניהם.
השאלה היא באופן ספציפי לגבי אימות מבוסס אסימון, אשר נעשה בדרך כלל לאחר אימות בסיסי כך שהמשתמש לא צריך לספק את שם המשתמש והסיסמה עם כל בקשה.
הייתה לי גם שאלה דומה. רציתי לבחור תוכנית ליישום אסימון קצר מועד, שאינו תואם לחלוטין ל- Oauth 2.0. תהיתי אם אוכל להשתמש ב- Bearer או בכל ערך לא סטנדרטי מבלי להסתבך בפרשנות פרוקסי ושרת. הכי קרוב שהגעתי למציאת תשובה היה: http://stackoverflow.com/questions/7802116/custom-http-authorization-header ו- http://stackoverflow.com/questions/8463809/customize-the-authorization-http- כּוֹתֶרֶת
האם בדרך כלל שרתים מחזירים אסימון באותו מסלול כלומר "הרשאה: נושא" של תגובת ה- HTTP?או שזה כמעט תמיד חלק מגוף התגובה?
[דף אימות HTTP זה ב- MDN] (https://developer.mozilla.org/en-US/docs/Web/HTTP/Authentication) שימושי מאוד לדיון.
עם כל הקידוד הזה היית חושב שניתן לאפות את התוכנית (נושא) לאסימון?
כן, זה בהחלט מצוק.עם כל הקידוד הזה היית חושב שניתן לאפות את התוכנית (נושא) לאסימון?
שְׁלוֹשָׁה תשובות:
Vegard
2016-04-12 18:02:19 UTC
view on stackexchange narkive permalink

ההרשאה: <type> <credentials> התבנית הוצגה על ידי W3C ב- HTTP 1.0, והיא עברה שימוש חוזר במקומות רבים מאז. שרתי אינטרנט רבים תומכים בשיטות אישור מרובות. במקרים אלה שליחת האסימון בלבד אינה מספיקה.

אתרים המשתמשים ב 

  הרשאה: נושא cn389ncoiwuencr

הם ככל הנראה הטמעת OAuth 2.0 אסימוני נושא. מסגרת ההרשאה OAuth 2.0 מגדירה מספר דרישות אחרות כדי לשמור על אבטחת ההרשאה, למשל דורש שימוש ב- HTTPS / TLS. p>

אם אתה משתלב עם שירות המשתמש ב- OAuth 2.0, מומלץ להכיר את המסגרת כך שהזרם שבו אתה משתמש מיושם כראוי, והימנעות מפגיעות מיותרות. ישנם מספר הדרכות טובות הזמינות באופן מקוון.

אני לא מכיר את ממשק ה- API של MS Graph, יכול להיות מוזר ליישומם.
זה מה שחשבתי.בהתחשב בידע שלך לגבי אסימונים ואסימונים באופן כללי, האם אתה יכול לראות השלכות אבטחה כלשהן מכיוון שממשק ה- API מקבל את האסימון ללא מילת המפתח של נושא?
לא ממש, אבל אני מסכים עם הערה אחת בשאלה זו - אם יישומם שונה בנקודה זו, מה עוד שונה?עם זאת, ישנם מספר יישומים דמויי OAuth החורגים מ- RFC.זה לא אומר באופן אוטומטי שהיישומים שלהם פחות מאובטחים.
bbsimonbb
2016-04-12 15:33:18 UTC
view on stackexchange narkive permalink

הרבה לפני אישור נושא, כותרת זו שימשה ל אימות בסיסי. לצורך יכולת פעולה הדדית, השימוש בכותרות אלה נשלט על ידי נורמות W3C, כך שגם אם אתה קורא וכותב את הכותרת, עליך לעקוב אחריהן. נושא מוביל מבחין בין סוג ההרשאה שבו אתה משתמש, ולכן זה חשוב.

Yasser Gersy
2016-11-15 00:37:09 UTC
view on stackexchange narkive permalink

אסימון נושא מוגדר בכותרת ההרשאה של כל בקשת HTTP לפעולה מוטבע, והמוביל עצמו קובע את סוג האימות.

Ref https://developers.google.com/gmail/ סימון / פעולות / אימות נושאי נושא

תשובה זו ספציפית למפתחי Gmail, ולא לכל מפתחי האינטרנט.'פעולה' היא מושג gmail.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...