코딩하다 현타올 때

질문 : 인증 대 권한 부여 웹 애플리케이션 컨텍스트의 차이점은 무엇입니까? 나는 약어 "auth"를 많이 본다. 인증 또는 인증을 의미합니까? 아니면 둘 다입니까? 답변 인증 은 누군가가 실제로 자신이 주장하는 사람임을 확인하는 과정입니다. 승인 은 누가 무엇을 할 수 있는지 결정하는 규칙을 의미합니다. 예를 들어 Adam은 데이터베이스를 만들고 삭제할 수있는 권한이있는 반면 Usama는 읽기 권한 만 있습니다. 두 개념은 완전히 직교하고 독립적이지만 둘 다 보안 설계의 핵심이며 둘 중 하나를 올바르게 가져 오지 못하면 타협의 여지가 열립니다. 웹 앱의 관점에서 말하자면, 인증은 로그인 자격 증명을 확인하여 사용자가 로그인 한 것으로 인식하는지 확인하는 것이고, 인증은 사용자가보기, 편집, 삭제를 허용..

질문 : jQuery 및 Ajax에서 기본 인증 사용 브라우저를 통해 기본 인증을 생성하려고하는데 거기에 도달 할 수 없습니다. 이 스크립트가 여기에 없으면 브라우저 인증이 인계되지만 사용자가 곧 인증을 수행 할 것임을 브라우저에 알리고 싶습니다. 주소는 다음과 같아야합니다. http://username:password@server.in.local/ 양식이 있습니다. 그리고 스크립트 : var username = $("input#username").val(); var password = $("input#password").val(); function make_base_auth(user, password) { var tok = user + ':' + password; var hash = Base64.enc..

질문 : JWT (JSON Web Token) 만료 자동 연장 새로운 REST API에 JWT 기반 인증을 구현하고 싶습니다. 그러나 토큰에 만료가 설정되어 있으므로 자동으로 연장 할 수 있습니까? 사용자가 해당 기간에 애플리케이션을 적극적으로 사용하는 경우 X 분마다 로그인 할 필요가 없습니다. 그것은 엄청난 UX 실패입니다. 그러나 만료 기간을 연장하면 새 토큰이 생성됩니다 (이전 토큰은 만료 될 때까지 여전히 유효합니다). 그리고 각 요청 후에 새 토큰을 생성하는 것은 어리석은 것처럼 들립니다. 둘 이상의 토큰이 동시에 유효한 경우 보안 문제처럼 들립니다. 물론 블랙리스트를 사용하여 이전에 사용 된 것을 무효화 할 수 있지만 토큰을 저장해야합니다. 그리고 JWT의 장점 중 하나는 스토리지가 없다는 ..