程序员经验分享-hwhale

用户身份验证之前的安全休息服务

2024-02-18

我有一个提供多种休息服务的 Web 应用程序(泽西岛)。大多数端点都受到 BASIC 身份验证的保护。此外,我使用 SSL 进行传输,并为每次调用请求 POST。 客户端/消费者是 Android 应用程序。

到目前为止,一切都很好。唯一容易受到攻击的服务是注册。这是要调用的“第一个”服务,但用户尚不存在。所以我不能使用 OAuth 等。我还必须保持端点易于访问以使用户能够注册。

如何保护此服务的安全,使其不会被充斥我数据库的机器人发送垃圾邮件?


这些怎么样?

  1. 在请求参数中使用带有令牌的注册链接。确保令牌在一段时间后过期。您还可以创建一个令牌端点 url,以便客户端获取有效令牌。
  2. 在请求中使用自定义标头或动态自定义标头。此外,您可以检查动态自定义标头以验证请求的真实性。
  3. 使用注册确认工作流程,例如注册完成后立即进行电子邮件/文本验证。每天运行一个进程来删除在 x 天内未验证的任何用户帐户。

我认为您无法真正以 HTTP 方式保护注册 URL。恕我直言,任何拥有注册网址的人都可能是尝试注册的合适人选。所以如果你问我,选项 3 比其他选项更好。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Java

WebServices

REST

security

用户身份验证之前的安全休息服务 的相关文章

  • JDT - 尝试更改类型的超类。我不知道超级类的限定名称

    我有一个程序 除其他任务外 还必须使用 JDT 更改某些类的超类 我有两个字符串 其中包含要交换的超类的限定名称 例如 org example John 和 org example Smith 并且我正在解析整个 AST 搜索扩展这些类的类

  • 如何在 Java 中验证从 Azure AD B2C 生成的 JWT 令牌?

    我正在寻找 Java 代码示例来验证 Azure AD B2C 令牌 我们可以使用哪些依赖项 所有 JWT 令牌的 JWT 令牌验证步骤或代码是否相同还是会有所不同 我们的项目中没有使用 Spring Security 有大量的图书馆her

  • 方法重载。你能过度使用它吗?

    当定义多个使用不同过滤器返回相同形状的数据的方法时 什么是更好的做法 显式方法名称或重载方法 例如 如果我有一些产品并且我正在从数据库中提取 显式方式 public List

  • Java JNDI 名称 java:/

    我正在遵循教程 https docs oracle com javase tutorial jndi index html https docs oracle com javase tutorial jndi index html 我的冒险

  • 克隆 dom.Document 对象

    我的目的是将xml文件读入Dom对象 编辑dom对象 其中涉及删除一些节点 完成此操作后 我希望将 Dom 恢复到其原始状态 而不实际解析 XML 文件 无论如何 我可以克隆第一次解析 xml 文件后获得的 dom 对象吗 这个想法是避免一

  • Spring批量写入器限制

    我正在工作 Spring Batch 项目 从数据库读取记录然后写入rabbitmq 然后发送到HTTP消息网关 网关有150TPS我需要将我的应用程序限制为 150TPS 有没有办法带弹簧批的油门或者还有其他更好的方法吗 你能行的 在 S

  • 使用 android-async-http (loopj) 发布 JSON/XML

    我在用android async http http loopj com android async http 并且真的很喜欢它 我在发布数据时遇到了问题 我必须按照以下格式将数据发布到 API

  • LibGDX 闪烁

    我已经使用 LibGDX UI 设置来启动一个项目 我在实现 ApplicationListener 中唯一拥有的是 public void create setScreen new LoadingScreen this 这应该会触发 Lo

  • [TYPE] 类型的 Bean 'x' 不符合所有 BeanPostProcessors 的处理条件

    我有一个ResourceAspect class Component Aspect public class ResourceAspect Before execution public public void resourceAccess

  • 外部化 Spring Security 配置?

    我有一个 Web 应用程序 可以使用 Spring Security 的几种不同配置 但是 这些差异配置都是在我的 applicationContext 配置文件中设置的 因此 为了在客户站点调整这些内容 必须在 WAR 文件内修改这些内容

  • Java J文件选择器

    我希望能够控制外观JFileChooser 我特别想保存如何JFileChooser上次显示时显示 我想保存它是否在详细信息 列表视图中使用以及列表被排序的列 例如 大小或修改日期 我知道有很多关于JFileChooser但我一直没能找到我

  • Java 7 中新的 JNLP 缺少项目警告是怎么回事?

    从 Java 6 切换到 Java 7 后 我的 JNLP 仍然工作正常 但它现在抛出一系列如下错误 Missing Application Name manifest attribute for http blah com app jar

  • 如何解决声纳中的 dodgy:unchecked/unconfirmedcast 问题?

    我在下面的代码中通过声纳获得异常 我该如何解决这个问题 建议我 Override public boolean validate BaseInfo infoObject boolean isValid true AckTransferPay

  • 我有什么理由应该嘲笑?

    我也是 Mockito 和 PowerMockito 的新手 我发现我无法使用纯 Mockito 测试静态方法 因此我需要使用 PowerMockito 对吗 我有一个非常简单的类 名为 Validate 使用这个非常简单的方法 publi

  • 如何将 .txt 文件的最后 5 行读入 java

    我有一个包含多个条目的文本文件 例如 hello there my name is JoeBloggs 我如何按降序阅读最后五个条目 即来自 JoeBloggs 那里 我目前有代码只能读取最后一行 public class TestLast

  • java中从视频中提取图像

    我想知道如何使用 JMF 从视频中提取图像 Player player Manager createRealizedPlayer cdi getLocator player start FrameGrabbingControl frameG

  • Maven编译错误:包不存在

    我正在尝试向现有企业项目添加 Maven 支持 这是一个多模块项目 前 2 个模块编译和打包没有问题 但我面临编译错误 我尝试在多个模块中使用相同的依赖项 我的结构是 gt parent gt pom xml gt module 1 gt

  • 我的代码线程不安全吗?

    我编写了代码来理解 CyclicBarrier 我的应用程序模拟选举 每轮选出得票少的候选人 该候选人从竞争中淘汰以获得胜利 source class ElectoralCommission public volatile boolean

  • 使用 System.out.println 显示特殊字符

    我在将带有特殊字符的文本从网络服务发送或显示到数据库时遇到问题 在我的 Eclipse 上 我已将字符编码设置为 UTF 8 但它仍然不允许我显示字符 例如 像下面的代码一样简单的打印 String test System out prin

  • Encog:BasicNetwork:无需预先构建数据集的在线学习

    我正在尝试使用 encog 库作为强化学习问题的函数逼近器 更准确地说 我正在尝试启动并运行多层感知器 BasicNetwork 由于我的代理将根据我选择的任何 RL 算法以某种方式探索世界 因此我无法预先构建任何 BasicNeuralD

随机推荐

  • 过渡到 C++11,其中析构函数使用 noexcept 隐式声明

    在 C 11 中 没有任何异常规范的析构函数隐式声明为noexcept 这是对 C 03 的更改 因此 在 C 03 中从析构函数抛出的代码在 C 11 中仍然可以正常编译 但一旦尝试从这样的析构函数抛出 就会在运行时崩溃 既然这样的代码不

  • 使子进程超时

    我意识到这可能是重复的使用带有超时的模块 子进程 https stackoverflow com questions 1191374 subprocess with timeout 如果是的话 我很抱歉 只是想澄清一些事情 我正在创建一个子

  • 如何在其他条件下在 pandas 中创建滚动窗口

    我有一个包含 2 列的数据框 df pd DataFrame np random randint 0 100 size 100 2 columns list AB A B 0 11 10 1 61 30 2 24 54 3 47 52 4

  • 重新打开 LibGdx Android APP 无法正确绘制屏幕

    I have created an android App using the LibGdx framework Whenever I flash it to my android device it works perfectly But

  • 如何在 Javascript 中将波斯 (Jalali) 日期转换为其他 18 个日历日期,无需外部库或复杂的天文方程

    TL DR 要求是能够采用波斯 Jalali 日期 也称为波斯阳历回历 例如Esfand 19 1400 i e 12 19 1400 并将其转换为其他日历 公历 伊斯兰历 中国历 希伯来历等 无需使用外部库或复杂的天文方程 并且不使用新日

  • 特征选择和预测

    from sklearn feature selection import RFECV from sklearn metrics import accuracy score from sklearn model selection impo

  • 为什么 MinGW 没有出现在 Eclipse/Indigo CDT 工具链列表中?

    我正在尝试在 Windows 7 桌面上运行的 Eclipse Indigo 上设置 C C 开发环境 我已将 MinGW 安装到我的 C 盘按照 eclipse org 上的说明 http help eclipse org indigo

  • 从十六进制格式获取原始密钥

    这是用于 AES 加密的密钥的十六进制格式 00010203050607080A0B0C0D0F101112 我可以从中生成原始 SecretKey 格式或字节数组吗 如果是这样怎么办 您可以使用 Apache Commons Codec

  • 如何在 BaseAdapter 中使用 getFilter() 过滤 ListView

    在我的应用程序中 我创建了一个自定义列表视图 我想实现一个过滤器 以便可以根据 EditText 中输入的文本过滤列表 我使用 BaseAdapter 作为单独的类 并在我的主活动中调用该类 我还在我的主要活动中实现了 addTextCha

  • RecognizerIntent.ACTION_RECOGNIZE_SPEECH 在新的 Android 设备中不起作用

    以下是我的语音识别代码 对于最新的设备和平板电脑 它显示 识别器不存在 请帮助我如何修复它 public void startMyVoice Intent intent new Intent RecognizerIntent ACTION

  • 无法连接到服务器:PostgreSQL -Heroku

    我在 Heroku 中部署了一个 Django 应用程序 最初 它运行在SQLite3数据库 后来我升级到PostgreSQL 应用程序与本地设置完美配合 但是当我将文件推送到服务器时 它的行为不符合预期 当我登录 django admin

  • 使用PreparedStatement时出现com.mysql.jdbc.exceptions.MySQLSyntaxErrorException

    我正在尝试执行一个查询 该查询返回一个学生 其姓名和姓氏连接起来等于搜索键参数 为此 我在我的班级中执行此操作 管理与我的数据库相关的任何内容Student class 执行查询时 我收到以下错误 com mysql jdbc except

  • 如何在经典 ASP 中延迟响应

    我有一个运行 Classic ASP 的站点 在登录页面上我想延迟对失败登录尝试的响应 大约 10 秒 以帮助防止对帐户的暴力攻击 快速的谷歌搜索显示了一些使用 SQL 服务器查询的黑客攻击 这些攻击看起来很厉害 在经典的asp中有没有好的

  • 周数和年份组合

    过去有人问过有关 Excel 中的周数和年份的几个问题 但是 我有一个特定问题 但找不到答案 我正在尝试以 YYWW 格式获取年份和周数的组合 例如 1752 或 1801 基于日期列 如下所示 Date Year Week 01 01 2

  • BroadcastReceiver 无法访问互联网

    我的广播接收器遇到问题 我设置了早上 6 点的闹钟 它必须触发我的广播接收器 它只需要从互联网下载一些数据并进行处理 例如 如果我将闹钟设置为下午 3 点 效果就很好 但问题是早上6点 由于没有网络连接 下载失败 我在尝试下载之前执行部分唤

  • 如何在一台 Apache 服务器上同时运行 Django 和 PHP?

    我目前可以在我的 Apache 服务器上通过 mod wsgi 运行 Django 或 PHP 我的 Django 项目运行于 http localhost http localhost源位于 C django proj 我的 PHP 项目

  • 将SQL Server varchar max存储在SSIS字符串中[重复]

    这个问题在这里已经有答案了 我在做什么 获取单行结果集execute sql task 东部时间 通过oledb connection OLE 我想设置 ssis 变量 strName 行的第一列值 varchar max strName

  • 在C#中如何在同一线程中运行异步方法

    是否可以在与调用者相同的线程中异步定义和调用方法 假设我只有一个核心 并且我不希望 100 个线程产生线程管理开销 Edit我问的原因是 NodeJS 的做事模型 一个线程上的所有事情都不会阻塞任何事情 这被证明是非常有效的 这让我想知道在

  • 相对路径不适用于 docker-compose.yml 中的命名卷

    我需要使命名卷使用其所在文件夹的相对路径docker compose命令被执行 这是 docker compose yml 中的卷定义 volumes esdata1 driver local driver opts type none d

  • 用户身份验证之前的安全休息服务

    我有一个提供多种休息服务的 Web 应用程序 泽西岛 大多数端点都受到 BASIC 身份验证的保护 此外 我使用 SSL 进行传输 并为每次调用请求 POST 客户端 消费者是 Android 应用程序 到目前为止 一切都很好 唯一容易受到

热门标签