Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Zend_Mail отправка писем через SMTP с аутентификацией

Zend Framework *
Переделывал както один сайтик за горе-создателями и потребовалось мне отправлять почту через SMTP c аутентификацией.

Смотрим в руководство на сайте зенда http://framework.zend.com/manual/ru/zend.mail.smtp-authentication.html
и видим: "… на данный момент SMTP-аутентификация не поддерживается" :(

Что же делать?
Читать дальше →
Всего голосов 13: ↑8 и ↓5 +3
Просмотры 6.6K
Комментарии 5

Минималистичная система разделения прав по группам за 5 минут

CakePHP *
Перевод
Замучались с ACL? Есть пожалуй самое простое решение для разделения прав по группам. Никаких ACL таблиц, никакого дерева прав. Но если вам требуется задавать права персонально для каждого пользователя, то это решение точно не для вас.
Читать дальше →
Всего голосов 17: ↑10 и ↓7 +3
Просмотры 3.3K
Комментарии 19

Авторизация через новый API сайта Вконтакте.ру

Django *
Армия потенциальных пользователей Вашего сайта, зарегистрированных в социальной сети Вконтакте.ру наверняка оценят по достоинству Ваши старания по внедрению регистрации с помощью их любимой социалки. О создании такой возможности я задумался сегодня по утру и не откладывая решил воплотить желание в реальность.

Облегчало реализацию два факта: первый заключается в том, что Open API мне очень напоминал Facebook Connect, с которым я уже работал. Второй факт был ещё весомей — у меня уже есть библиотека в которой каждый вариант авторизации (OpenID, OAuth, FacebookConnect) являются отдельными бэкендами и написать дополнительный, тем более так похожий на FC не выглядело сложным заданием. В итоге, можно сказать что по факту это действительно оказалось плёвым делом.

Итак, что же нужно для авторизации по Вконтакте.ру?
Читать дальше →
Всего голосов 84: ↑58 и ↓26 +32
Просмотры 12K
Комментарии 62

Регистрация\Авторизация через картинку

Ненормальное программирование *
Услышав недавно от знакомого, что в новой OS Windows будет авторизация по картинкам решил попробовать реализовать такую же систему но под Web интерфейс.
После 2х часов экспериментов получилась довольна быстрая регистрация, требующая только ввод имени пользователя(login).
Читать дальше →
Всего голосов 74: ↑62 и ↓12 +50
Просмотры 1.6K
Комментарии 59

О некоторых приемах атаки Man in the middle

Информационная безопасность *
Немного Википедии: атака «человек посередине» (англ. Man in the middle, MitM-атака) — термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.
В этой статье будет рассмотрен прием пассивной атаки на http-соединение, без модификации проходящей информации. Итак, каким-то способом вы смогли вклиниться физически или удалённо в канал передачи данных, настроили bridge или просто получили root-управление шлюзом. Руткит поставили, базы с исходниками слили, вебшелл залили, в cron часовую бомбу заложили, и что теперь?
Читать дальше →
Всего голосов 47: ↑33 и ↓14 +19
Просмотры 37K
Комментарии 12

Система управления авторизацией пользователей на тысячах серверов

Блог компании Badoo Puppet *
При управлении большим парком серверов (100 и более) в определенный момент возникает вопрос об упрощении выполнения рутинных задач.

Одно из главных требований в таких условиях — иметь полное представление о том, что и когда происходит на серверах, находящихся в зоне личной ответственности, но доступ к которым имеют еще как минимум несколько десятков разработчиков.

Сегодня мы поговорим об авторизации пользователей на Linux-серверах с использованием БД MySQL и приложения Puppet.
Читать дальше →
Всего голосов 70: ↑63 и ↓7 +56
Просмотры 25K
Комментарии 61

Lily v1.2 (Yii модуль для управления пользователями с авторизацией через сервисы)

Yii *
После перерыва возобновил работу над модулем Yii, о котором писал чуть меньше года назад (пост).
Последние 2-3 недели в значительной мере были затрачены на написание/переписывание кода, и теперь можно вполне анонсировать версию 1.2.
Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 7.6K
Комментарии 10

Веб авторизация доменного пользователя через nginx и HTTP Negotiate

Разработка веб-сайтов *
    Намедни встала задача — обеспечить прозрачную авторизацию пользователей домена в CRM, собственно Microsoft давным давно разработал для этих целей метод аутентификации HTTP Negotiate, это все замечательно работает на IIS и Windows Server, а у нас за плечами Samba4 в роли Primary Domain Controller и проксирующий веб сервер nginx. Как быть?

    В сети куча информации по организации подобной схемы для Apache2 & AD на базе Windows, а вот пользователям nginx приходится собирать все по крупицам, информации кот наплакал. В базовой поставке Nginx нет подобного функционала. Благо люди не пали духом и история началась в мейл рассылках nginx в 2009 году, где один американский товарищ из Огайо нанял разработчика на RentACoder для запиливания модуля с подобным функционалом. Ребята форкнули подобный модуль для апача, прикрутили его к nginx и результаты работы выложили на github, где модуль время от времени допиливался разными людьми и в итоге принял роботоспособный вид. Последнюю версию можно получить на гитхабе.


В данном руководстве я расскажу как заставить работать nginx с SPNEGO модулем и samba4.

Читать дальше →
Всего голосов 21: ↑20 и ↓1 +19
Просмотры 43K
Комментарии 19

Это птица? Это самолёт? Нет, это токен вашего пользователя летит на новый телефон

Блог компании FUNCORP Разработка мобильных приложений *Разработка под Android *Восстановление данных *Google API *
Tutorial
Привет, Хабр!

Сегодня я расскажу про API для разработчиков от компании Google. Речь пойдёт о том, как не заставлять пользователя заново логиниться в приложении после переноса данных, или, выражаясь точнее, как использовать Android Account Transfer API.

Скорее всего, каждый из нас покупал новый смартфон и ему приходилось переносить на него всю важную информацию и приложения со старого. Сейчас этот процесс стал достаточно простым благодаря технологии Tap & Go. Но есть одно но. Приходится заново логиниться везде, где только можно. А что если это приложение типа фитнес-трекера, где залогинился один раз и забыл? Восстанавливать пароль? Опять головная боль. Вы можете сказать: «Но есть же Smart Lock!», и будете правы, но мы же должны учесть все кейсы. Что если человек забыл сохранить пароль? Или он просто параноик и не хранит пароли? Или в приложении не реализован Smart Lock? Думаю, что всегда найдутся причины забыть авторизационные данные. Но теперь решение есть, и вы сможете облегчить бремя переноса авторизационных данных ваших пользователей. Только вот оно не для всех. Да и эффективно заработает как минимум через год.

Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Просмотры 6.4K
Комментарии 8

Никто (почти) не знает, что такое авторизация

Блог компании Avanpost Информационная безопасность *Программирование *Анализ и проектирование систем *

За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
Читать дальше →
Всего голосов 33: ↑32 и ↓1 +31
Просмотры 45K
Комментарии 110

Обзор книги «Securing the Perimeter: Deploying Identity and Access Management with Free Open Source Software»

Блог компании Avanpost Информационная безопасность *Open source *Анализ и проектирование систем *Читальный зал

Сегодня мы хотим поделиться литературной находкой, напрямую относящейся к нашей предметной области.

Тема Identity and Access Management на данный момент является достаточно закрытой, что создает проблемы для нас, в первую очередь, с подбором высококвалифицированных специалистов от ведущего разработчика до РП и архитектора. Подготовка же таких специалистов, перешедших из другой предметной области, занимает немало времени. Не меньшей проблемой является настороженное отношение к данной сфере многих заказчиков, не понимающих «зачем нам это все», если есть нормальная доменная инфраструктура. Несмотря на то, что автор книги ориентирует читателя на создание IAM-инфраструктуры на базе OSS и приводит примеры конкретных решений, основная ценность книги, на наш взгляд, заключается в систематизации области, классов продуктов, предназначенных для решения задач в области идентификации, аутентификации и управления доступом, а так же в доступном описании открытых стандартов и технологий, собранном в одном месте и разложенном по полочкам.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 3K
Комментарии 0

Использование OAuth и API VK в Go

Разработка веб-сайтов *Программирование *Go *
Tutorial
Сегодняшняя статья будет посвящена разработке программы на Go, использующей API vk.com для авторизации и загрузки данных о пользователе.

Сейчас найти современный сервис, который бы не использовал авторизацию по OAuth практически невозможно. Существует большое количество сценариев использования этого протокола. Попробуем же написать простой клиент для работы с этой технологией на Go.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 5.4K
Комментарии 3

История архитектуры Dodo IS: путь бэкофиса

Блог компании Dodo Engineering Программирование *Анализ и проектирование систем *IT-инфраструктура *Управление разработкой *
Хабр меняет мир. Больше года мы ведём свой блог. Где-то полгода назад нам прилетел вполне логичный фидбэк от хабровчан: «Додо, вот вы везде говорите, что у вас своя система. А что это за система? И зачем она нужна сети пиццерий?».

Мы посидели, подумали и поняли, что вы правы. Мы пробуем объяснить всё на пальцах, но выходит рваными кусками и нигде нет полноценного описания системы. Так начался долгий путь сбора информации, поиска авторов и написания серии статей про Dodo IS. Погнали!
Благодарности: спасибо, что делитесь своим фидбэком с нами. Благодаря ему мы наконец описали систему, составили технорадар и скоро выкатим большое описание наших процессов. Без вас так бы и сидели ещё 5 лет.

Читать дальше →
Всего голосов 39: ↑34 и ↓5 +29
Просмотры 24K
Комментарии 35

Развертывание и настройка аутентификации node-red на docker-compose

DevOps *
Из песочницы

Развертывание и настройка аутентификации node-red на docker-compose


Развертывания node-red на docker-compose с включением авторизации и использованием docker volume.

Создаем файл docker-compose.yml:

version: "3.7"

services:
  node-red:
    image: nodered/node-red
    environment:
      - TZ=Europe/Moscow
    ports:
      - "11880:1880" # 11880 - порт для подключения к контейнеру, 1880 - порт на котором работает node-red внутри контейнера.
    volumes:
      - "node-red:/data" # node-red - каталог который выделит docker для хранения данных, /data - каталог внутри контейнера.
    restart: always
volumes:
  node-red: # создание каталога node-red на хосте.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 2.3K
Комментарии 4

Тонкости авторизации: обзор технологии OAuth 2.0

Блог компании Dodo Engineering Информационная безопасность *Программирование *IT-стандарты *IT-компании
Информационная система Dodo IS состоит из 44 различных сервисов, таких как Трекер, Кассы ресторана или Базы знаний и многих других. Чтобы не отвлекаться на несколько аккаунтов, 3 года назад мы написали сервис Auth для реализации сквозной аутентификации, а сейчас пишем уже вторую версию, в основе которого лежит стандарт авторизации OAuth 2.0. Этот стандарт довольно сложный, но если у вас сложная архитектура с множеством сервисов, то OAuth 2.0 вам пригодится при разработке своего сервиса аутентификации. В этой статье я постарался рассказать о стандарте максимально просто и понятно, чтобы вы сэкономили время на его изучение.


Читать дальше →
Всего голосов 35: ↑34 и ↓1 +33
Просмотры 30K
Комментарии 14

Настройка аутентификации JWT в новом проекте Django

Python *Django *
Из песочницы

Данная статья является сборкой-компиляцией нескольких (основано на первой) статей, как результат моих изучений по теме jwt аутентификации в джанге со всем вытекающим. Так и не удалось (по крайней мере в рунете) найти нормальную статью, в которой рассказывается от этапа создания проекта, startproject, прикручивание jwt аутентификации.

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 26K
Комментарии 11

Node.js: шаблон сервера для аутентификации и авторизации

Блог компании Timeweb Cloud Разработка веб-сайтов *JavaScript *Node.JS *


Привет, друзья!


На досуге разработал шаблон Node.js-сервера для аутентификации/авторизации, которым хочу с вами поделиться. Надеюсь, кому-нибудь пригодится.


Обратите внимание: шаблон — это всего лишь хорошая отправная точка, с которой можно начать разработку собственного сервиса. Он не предназначен для использования в продакшне как есть, поскольку настройки, определяющие гибкость его архитектуры и уровень его безопасности, зависят от потребностей конкретного приложения и должны быть реализованы вручную.


Также обратите внимание, что в коде имеется несколько console.log для облегчения процесса разработки приложения. В продакшне они не нужны. В производственном режиме также не следует возвращать столь информативные message.


Если возможностей, реализованных в шаблоне, окажется недостаточно, вот парочка более продвинутых инструментов:


  • oidc-client — разработчик отказался от дальнейшей поддержки, новый мейнтейнер пока не нашелся
  • oidc-provider — рекомендация моих более опытных коллег

Если вас интересует полноценная платформа для аутентификации/авторизации "из коробки", рассмотрите возможность использования Auth0.


Репозиторий


Сервер реализован с помощью Express.js


В качестве базы данных используется MongoDB Atlas

Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 6.5K
Комментарии 2

React: пример использования Auth0 для разработки сервиса аутентификации/авторизации

Блог компании Timeweb Cloud Информационная безопасность *Разработка веб-сайтов *JavaScript *ReactJS *



Привет, друзья!


В этой статье я покажу вам, как создать полноценный сервис для аутентификации и авторизации (далее — просто сервис) с помощью Auth0.


Auth0 — это платформа, предоставляющая готовые решения для разработки сервисов любого уровня сложности. Auth0 поддерживается командой, стоящей за разработкой JWT (JSON Web Token/веб-токен в формате JSON). Это вселяет определенную уверенность в безопасности Auth0-сервисов.


Бесплатная версия Auth0 позволяет регистрировать до 7000 пользователей.


В этой статье я писал о том, что такое JWT, и как разработать собственный сервис с нуля.


Знакомство с Auth0 можно начать отсюда.


Исходный код Auth0 SDK, который мы будем использовать для разработки приложения, можно найти здесь.


Исходный код проекта, который мы будем разрабатывать, находится здесь.


В статье я расскажу только о самых основных возможностях, предоставляемых Auth0.


В примерах и на скриншотах ниже вы увидите реальные чувствительные данные/sensitive data. Это не означает, что вы сможете их использовать. После публикации статьи сервис будет удален.

Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 4.1K
Комментарии 0