Articles of 授权

授权问题与节点js请求

我有一个困难的时间进行validation的请求,盟友/报价报价stream。 我正在使用节点JS来提出请求。 我已经尝试了几种方法来提出请求,但为了这个问题的目的,我将使用oauth模块来坚持从他们网站的例子。 我想要做的是console.log(数据),我期望一个股票报价stream 。 相反,我返回401未经授权的。 任何人都可以指出我的方向,以更好地解决这个问题,或提供更正? 这是我的代码和服务器响应: ///码/// var OAuth = require('oauth').OAuth; var credentials = { consumer_key: "xxxxxxxxxxx", consumer_secret: "xxxxxxxxxxx", access_token: "xxxxxxxxxxx", access_secret: "xxxxxxxxxxx" }; var oa = new OAuth(null, null, credentials.consumer_key, credentials.consumer_secret, "1.0", null, "HMAC-SHA1"); var request = oa.get("https://stream.tradeking.com/v1/market/quotes?symbols=AAPL", credentials.access_token, credentials.access_secret); request.on('response', function (response) { response.setEncoding('utf8'); console.log(response.statusCode) console.log(response) }); request.end(); ///响应/// 401 IncomingMessage […]

如何根据订阅级别为不同的用户devise具有不同function集的Web应用程序?

根据订阅的不同,为不同用户启用不同function集的应用程序寻找一些架构模式的洞察。 我不是指angular色 – pipe理员vs用户vspipe理员 – 而是我的整个可用function集或容量可能会根据我的订阅而改变。 以github或freshbooks或firebase或heroku为例。 有多个计划。 免费计划A只能做X + Y,而付费计划B可以做X + Y + Z(还有10个以上),有偿计划C可以做W + X + Y + Z(每个有100个) 。 很明显,我不想将这些限制和特征烘焙到代码中,或者需要很长时间来构build,而且任何更改(计划之间的移动function或对各种function的限制)都会变成一场噩梦。 人们使用什么模式,以便用户: 只能使用那些与他/她相关的function 受限于他/她可用的限制 这些限制/function是否在订阅级别更改(上或下)时自动更改 看到加售机会(显示不可用的function,但可以购买)? 在这里寻找一个架构devise,欢迎使用Java,NodeJS,RoR或PHP。

如何在Express中使用basic-auth中间件指向默认login页面

我正在尝试向Express上的整个站点添加基本授权。 如果用户input正确的凭据,那么我希望显示标准login页面。 如果没有,那么用户应该被带到“访问被拒绝”页面。 我想弄清楚如何改变基本authentication中间件的例子来完成这个: var http = require('http') var auth = require('basic-auth') // Create server var server = http.createServer(function (req, res) { var credentials = auth(req) if (!credentials || credentials.name !== 'john' || credentials.pass !== 'secret') { res.statusCode = 401 res.setHeader('WWW-Authenticate', 'Basic realm="example"') res.end('Access denied') } else { res.end('Access granted') } }) 如果我使用next(); 而不是res.end() ,我得到一个undefined错误。 […]

如何直接从网页浏览器安全地执行对云端的授权

我打算build立一个办公室扩展应用程序(或多或less是一个HTML5应用程序)。 应用程序最有价值的部分是应用程序提供的内容,因此内容信息必须安全地保存在数据库中。 任何试图访问内容的人都必须通过显示用户名和密码来certificate自己的身份。 我有一个名为“_users”的Cloudant数据库,它存储所有的用户login信息,如用户名和密码,另一个名为“_contents”的Cloudant数据库,它存储所有的内容信息。 当用户试图用他们的网页浏览器访问“_content”数据库时,应用程序会要求用户login。 成功地将此用户的凭证与“_users”数据库中的数据匹配后,此用户便可访问“_content”数据库。 理想的情况是,login和授权过程可以只使用Web浏览器和Cloudant数据库来完成。 我不想有任何“中间人”(例如运行nodejs的Web服务器)。 我怎样才能做到这一点。 好的,这是我无法解决的一些问题。 当用户尝试build立与Cloudant数据库的连接时,必须提供一个API密钥。 好吧,我可以生成一个允许读取“_users”数据库的API密钥,并将此API密钥提供给用户。用户可以使用此密钥连接到“_users”,但这是否意味着使用此API密钥,任何用户可以读取“_users”数据库中的所有数据? 这将是一场灾难。 如果上述问题可以解决,如何进行授权? 我应该为每个用户不断生成API并在以后删除它们吗? 我应该在什么时候执行删除操作?

NodeJS – 使用Active Directory进行身份validation

我正在构build一个nodejs服务器,并决定通过活动目录执行身份validation。 所以我的第一个问题是:是否有可能与nodejs? 如果是这样,有人可以指引我的相关文章/文档/插件? 我的第二个问题是关于authentication本身。 我的服务器是宁静的,所以我基本上必须提供某种forms的标识每次我从服务器请求的东西。 我虽然关于下一个stream程: 在客户端的login页面,我发送用户名和密码到服务器。 在服务器上,我使用客户端发送的凭证对Active Directory进行身份validation。 一旦我收到来自Active Directory的响应,我检查它是否是有效的响应,如果login成功,我还检查用户是否在Active Directory中具有适当的权限来使用我的服务。 一旦所有的validation,我为用户创build一个令牌。 来自客户端的每个请求都必须包含有效的令牌。 这似乎是解决这个问题的最为标准的方法,它比每个请求发送用户名/密码和每次激活方向validation要简单得多。 但有些事情打扰我。 例如:如果系统pipe理员决定从活动目录中删除用户或删除他的权限以使用我的服务,该怎么办? 该用户仍然有一个令牌,允许他访问我的服务。 我可以为令牌设置一个到期日,但除非这个到期日是一秒钟,否则服务器将不会真正与活动目录同步。 你认为这个标记是解决这个问题的方法吗? 或者我应该通过发送用户名和密码每个请求来做到这一点? 另一种方法是给客户端一个令牌,但在服务器上,将该令牌与活动目录的用户名和密码相关联。 每一个请求,服务器将与活动目录进行身份validation? 这是一个好方法吗? 谢谢,Arik

Slack Oauth /授权API调用

我是OAuth(和Slack API)的新手,对Slack的OAuth Flow的步骤1有疑问。 它说:“您的networking或移动应用程序应该redirect用户到以下url: https : //slack.com/oauth/authorize ”。 起初我以为我应该做一个XHR请求,但后来明白,这不是我想要的。 经过更多的研究,我发现最初的oauth / authorize请求应该作为浏览器中的直接请求发送。 我的问题是我不能开始想象这应该如何完成。 我一直在引用本教程的部分内容(向下滚动到“Web服务器应用程序”部分),但是这并不能帮助我将自己的头围绕oauth / authorize请求。 所以基本上,我正在寻找一个人来更好地向我解释这个初步申请应该怎么做。 任何和所有的帮助,非常感谢! 提前致谢

如何validation/授权环回中的快速路由

我刚刚创build了一个回送应用程序,并为用户authentication/授权扩展了User模型。 我试图检查用户是否当前login或不从我的快速路由,所以我可以redirect用户/login如果用户没有login。 到目前为止,似乎回环只validation/授权暴露的模型方法,如/user/update 。 我无法find任何关于如何获得回送authentication/授权我定义的快速路线。 提前致谢

用户login后添加一些内容

美好的一天。 我用node.js和strongloop创build了rest api。 也有基于angular.js的应用程序。 当用户login时,服务器发送accessToken并将其存储在cookie中。 每一个请求我发送accessToken,并检查。 那么,什么是更好的方式来添加一些内容到单页面的应用程序后,用户login和隐藏时注销。 另外我创build窗体angular度模式对话框。

SPA与Deepstream.io HTTP身份validation的login页面

林编程新的和我试图使用深层authentication的真正的用户名和密码(已经build立其哈希的API)。 使用这些特定的用户名和密码时,它只能redirect到下一页。 我想我的深stream答复无效授权时,其另一个用户名和密码,我希望它redirect到下一页时,它的有效。 提前谢谢你的帮助!

在node.js中授权

编码一个新闻网站,我试图进行授权,只有作者(谁发布文章)能够编辑和删除它们(这些button出现在页面的底部,并为所有的用户可见)。 但是,有一些新闻/网站没有login/注册选项。 例如: http : //www.denofgeek.com/us 。 因为他们没有authentication,这是否意味着他们没有授权? 如果作者的设置与其他用户相同,他们如何编辑/删除文章? 码: app.get("/blog/:id/:title/edit", function(req,res) { Blog.findById(req.params.id, function(err, foundBlog) { if(err) { res.redirect("/blog"); } else { res.render("editBlog", {blog : foundBlog}); } }) }) //UPDATE BLOG app.put("/blog/:id/:title", function(req,res) { req.body.blog.body = req.sanitize(req.body.blog.body); Blog.findByIdAndUpdate(req.params.id, req.body.blog,{new: true}, function(err,updatedBlog) { if(err) { res.redirect("/blog"); } else { res.redirect("/blog/" + req.params.id + "/" + […]