问题描述
如果您使用PyPI上传文件,则可以使用用户名和密码进行身份验证,也可以仅使用令牌进行身份验证,然后发送字符串__token__,然后发送带有前缀的令牌:
要使用API令牌:
Set your username to __token__ Set your password to the token value,including the pypi- prefix
您可以在其页面上查看更多详细信息: https://pypi.org/help/#apitoken
这似乎很聪明-不会破坏使用旧样式凭据的用户的使用体验,但可以让您将一组减少的特权与给定令牌绑定在一起,这似乎更安全。
这种模式的名称是什么,其中同时支持两种身份验证方式?我的意思是说除了基于令牌的身份验证之外,因为这并不说明此处提供的后备功能。
除了明显的缺点(只需要动手使用令牌即可发送可能的恶意请求)之外,这种方法还有哪些缺点?
我正在一个项目中使用RSS,这似乎是一种提供对旧RSS阅读器的访问的好方法,同时仍支持API的更多用例。
解决方法
PyPI管理员在这里:我们称其为“妥协”?。 PyPI必须与仅支持基本HTTP身份验证的现有客户端完全向后兼容,因此,这实际上是我们受此约束的唯一选择。
我不确定是否有更好的名字。还有其他以不同方式使用的示例:
- https://api.data.gov/docs/api-key/(API密钥作为用户名,空密码)
- https://stripe.com/docs/api/authentication(API密钥作为用户名,空密码)
- https://docs.github.com/en/rest/overview/other-authentication-methods#via-oauth-and-personal-access-tokens(常规用户名,API密钥作为密码)
在对 issues on the warehouse project on github 进行更多挖掘之后,结果证明带有 pypy- 前缀的密码/密码方法实际上比我最初想象的要强大得多。
基于一种称为 Maracoon 的身份验证凭证,as described in this paper from google
本文介绍了杏仁饼:支持委托人之间分散委派的云服务的灵活授权凭证。杏仁饼基于一种结构,该结构以高效、易于部署且广泛适用的方式使用嵌套的链式 MAC(例如 HMAC)。
虽然蛋白杏仁饼干是不记名凭证,如 Web cookie,但蛋白杏仁饼干嵌入了警告,可以减弱和上下文限制目标服务应在何时、何地、由谁以及出于什么目的授权请求。本文描述了杏仁饼并激发了它们的设计,将它们与其他凭证系统(例如 cookie 和 SPKI/SDSI)进行了比较,评估和测量了原型实现,并讨论了实际的安全性和应用注意事项。特别考虑了杏仁饼如何在云中实现更细粒度的授权,例如通过加强OAuth2等机制,并在授权逻辑中给出杏仁饼的形式化。
依赖报错 idea导入项目后依赖报错,解决方案:https://blog....
错误1:gradle项目控制台输出为乱码 # 解决方案:https://bl...