Tag: 授权

授权问题与节点js请求: 我有一个困难的时间进行validation的请求，盟友/报价报价stream。我正在使用节点JS来提出请求。我已经尝试了几种方法来提出请求，但为了这个问题的目的，我将使用oauth模块来坚持从他们网站的例子。我想要做的是console.log（数据），我期望一个股票报价stream 。相反，我返回401未经授权的。任何人都可以指出我的方向，以更好地解决这个问题，或提供更正？这是我的代码和服务器响应： ///码/// var OAuth = require('oauth').OAuth; var credentials = { consumer_key: "xxxxxxxxxxx", consumer_secret: "xxxxxxxxxxx", access_token: "xxxxxxxxxxx", access_secret: "xxxxxxxxxxx" }; var oa = new OAuth(null, null, credentials.consumer_key, credentials.consumer_secret, "1.0", null, "HMAC-SHA1"); var request = oa.get("https://stream.tradeking.com/v1/market/quotes?symbols=AAPL", credentials.access_token, credentials.access_secret); request.on('response', function (response) { response.setEncoding('utf8'); console.log(response.statusCode) console.log(response) }); request.end(); ///响应/// 401 IncomingMessage […]

如何根据订阅级别为不同的用户devise具有不同function集的Web应用程序？: 根据订阅的不同，为不同用户启用不同function集的应用程序寻找一些架构模式的洞察。我不是指angular色 – pipe理员vs用户vspipe理员 – 而是我的整个可用function集或容量可能会根据我的订阅而改变。以github或freshbooks或firebase或heroku为例。有多个计划。免费计划A只能做X + Y，而付费计划B可以做X + Y + Z（还有10个以上），有偿计划C可以做W + X + Y + Z（每个有100个）。很明显，我不想将这些限制和特征烘焙到代码中，或者需要很长时间来构build，而且任何更改（计划之间的移动function或对各种function的限制）都会变成一场噩梦。人们使用什么模式，以便用户：只能使用那些与他/她相关的function 受限于他/她可用的限制这些限制/function是否在订阅级别更改（上或下）时自动更改看到加售机会（显示不可用的function，但可以购买）？在这里寻找一个架构devise，欢迎使用Java，NodeJS，RoR或PHP。

如何在Express中使用basic-auth中间件指向默认login页面: 我正在尝试向Express上的整个站点添加基本授权。如果用户input正确的凭据，那么我希望显示标准login页面。如果没有，那么用户应该被带到“访问被拒绝”页面。我想弄清楚如何改变基本authentication中间件的例子来完成这个： var http = require('http') var auth = require('basic-auth') // Create server var server = http.createServer(function (req, res) { var credentials = auth(req) if (!credentials || credentials.name !== 'john' || credentials.pass !== 'secret') { res.statusCode = 401 res.setHeader('WWW-Authenticate', 'Basic realm="example"') res.end('Access denied') } else { res.end('Access granted') } }) 如果我使用next(); 而不是res.end() ，我得到一个undefined错误。 […]

如何直接从网页浏览器安全地执行对云端的授权: 我打算build立一个办公室扩展应用程序（或多或less是一个HTML5应用程序）。应用程序最有价值的部分是应用程序提供的内容，因此内容信息必须安全地保存在数据库中。任何试图访问内容的人都必须通过显示用户名和密码来certificate自己的身份。我有一个名为“_users”的Cloudant数据库，它存储所有的用户login信息，如用户名和密码，另一个名为“_contents”的Cloudant数据库，它存储所有的内容信息。当用户试图用他们的网页浏览器访问“_content”数据库时，应用程序会要求用户login。成功地将此用户的凭证与“_users”数据库中的数据匹配后，此用户便可访问“_content”数据库。理想的情况是，login和授权过程可以只使用Web浏览器和Cloudant数据库来完成。我不想有任何“中间人”（例如运行nodejs的Web服务器）。我怎样才能做到这一点。好的，这是我无法解决的一些问题。当用户尝试build立与Cloudant数据库的连接时，必须提供一个API密钥。好吧，我可以生成一个允许读取“_users”数据库的API密钥，并将此API密钥提供给用户。用户可以使用此密钥连接到“_users”，但这是否意味着使用此API密钥，任何用户可以读取“_users”数据库中的所有数据？这将是一场灾难。如果上述问题可以解决，如何进行授权？我应该为每个用户不断生成API并在以后删除它们吗？我应该在什么时候执行删除操作？

NodeJS – 使用Active Directory进行身份validation: 我正在构build一个nodejs服务器，并决定通过活动目录执行身份validation。所以我的第一个问题是：是否有可能与nodejs？如果是这样，有人可以指引我的相关文章/文档/插件？我的第二个问题是关于authentication本身。我的服务器是宁静的，所以我基本上必须提供某种forms的标识每次我从服务器请求的东西。我虽然关于下一个stream程：在客户端的login页面，我发送用户名和密码到服务器。在服务器上，我使用客户端发送的凭证对Active Directory进行身份validation。一旦我收到来自Active Directory的响应，我检查它是否是有效的响应，如果login成功，我还检查用户是否在Active Directory中具有适当的权限来使用我的服务。一旦所有的validation，我为用户创build一个令牌。来自客户端的每个请求都必须包含有效的令牌。这似乎是解决这个问题的最为标准的方法，它比每个请求发送用户名/密码和每次激活方向validation要简单得多。但有些事情打扰我。例如：如果系统pipe理员决定从活动目录中删除用户或删除他的权限以使用我的服务，该怎么办？该用户仍然有一个令牌，允许他访问我的服务。我可以为令牌设置一个到期日，但除非这个到期日是一秒钟，否则服务器将不会真正与活动目录同步。你认为这个标记是解决这个问题的方法吗？或者我应该通过发送用户名和密码每个请求来做到这一点？另一种方法是给客户端一个令牌，但在服务器上，将该令牌与活动目录的用户名和密码相关联。每一个请求，服务器将与活动目录进行身份validation？这是一个好方法吗？谢谢，Arik

Slack Oauth /授权API调用: 我是OAuth（和Slack API）的新手，对Slack的OAuth Flow的步骤1有疑问。它说：“您的networking或移动应用程序应该redirect用户到以下url： https ： //slack.com/oauth/authorize ”。起初我以为我应该做一个XHR请求，但后来明白，这不是我想要的。经过更多的研究，我发现最初的oauth / authorize请求应该作为浏览器中的直接请求发送。我的问题是我不能开始想象这应该如何完成。我一直在引用本教程的部分内容（向下滚动到“Web服务器应用程序”部分），但是这并不能帮助我将自己的头围绕oauth / authorize请求。所以基本上，我正在寻找一个人来更好地向我解释这个初步申请应该怎么做。任何和所有的帮助，非常感谢！提前致谢

如何validation/授权环回中的快速路由: 我刚刚创build了一个回送应用程序，并为用户authentication/授权扩展了User模型。我试图检查用户是否当前login或不从我的快速路由，所以我可以redirect用户/login如果用户没有login。到目前为止，似乎回环只validation/授权暴露的模型方法，如/user/update 。我无法find任何关于如何获得回送authentication/授权我定义的快速路线。提前致谢

用户login后添加一些内容: 美好的一天。我用node.js和strongloop创build了rest api。也有基于angular.js的应用程序。当用户login时，服务器发送accessToken并将其存储在cookie中。每一个请求我发送accessToken，并检查。那么，什么是更好的方式来添加一些内容到单页面的应用程序后，用户login和隐藏时注销。另外我创build窗体angular度模式对话框。

SPA与Deepstream.io HTTP身份validation的login页面: 林编程新的和我试图使用深层authentication的真正的用户名和密码（已经build立其哈希的API）。使用这些特定的用户名和密码时，它只能redirect到下一页。我想我的深stream答复无效授权时，其另一个用户名和密码，我希望它redirect到下一页时，它的有效。提前谢谢你的帮助！

在node.js中授权: 编码一个新闻网站，我试图进行授权，只有作者（谁发布文章）能够编辑和删除它们（这些button出现在页面的底部，并为所有的用户可见）。但是，有一些新闻/网站没有login/注册选项。例如： http ： //www.denofgeek.com/us 。因为他们没有authentication，这是否意味着他们没有授权？如果作者的设置与其他用户相同，他们如何编辑/删除文章？码： app.get("/blog/:id/:title/edit", function(req,res) { Blog.findById(req.params.id, function(err, foundBlog) { if(err) { res.redirect("/blog"); } else { res.render("editBlog", {blog : foundBlog}); } }) }) //UPDATE BLOG app.put("/blog/:id/:title", function(req,res) { req.body.blog.body = req.sanitize(req.body.blog.body); Blog.findByIdAndUpdate(req.params.id, req.body.blog,{new: true}, function(err,updatedBlog) { if(err) { res.redirect("/blog"); } else { res.redirect("/blog/" + req.params.id + "/" + […]