我們公司主要採用 Microsoft 365 (M365) 為主要的協作平台,背後自然使用的是地表最強大的 Microsoft Entra ID 服務。我們上個月有位同事被 Entra ID 判定有 MFA 異常登入的狀況,導致帳號被鎖定,無法使用 MFA 登入,因此導致他完全無法使用任何 M365 服務。我當時也不知道怎樣處理的,可能是設定讓他重新設定 MFA 之類的,反正他就正常可以登入了。結果過了一個多月,就在前幾天,同一個人,他的帳號又再次被鎖定,這次鎖的更緊了,害我怎樣都解鎖不了,還必須要動用微軟技術支援中心才能解決。這次我還是認真做一下筆記好了,以免日後再有同仁遇到帳號被鎖定的狀況。
... 繼續閱讀 ...
我有個客戶的網站最近剛上線,在設定 CSP (Content Security Policy) 標頭的時候,因為我設定了 unsafe-inline 的關係,所以導致 Google Analytics (GA) 的程式無法執行,但 GA 網站提供的程式碼就是用 Inline Script (內嵌腳本) 怎麼辦呢?這篇文章我就來告訴你解決方案。
... 繼續閱讀 ...
昨天 (2023/11/20) 晚上 8:19 我經歷了一場歷時 16 小時的驚魂記,因為我的臉書 (Facebook) 帳號被盜了!我之前已經將 Facebook 所有的安全保護機制全部都啟用且設定過,二階段驗證也有啟用,但帳號是還是被盜了,這還是讓我覺得不可思議。還好就在剛剛我經成功把帳號救回來了,所以我想分享一下我這 16 小時的親身經歷,希望能幫助到有遇到同樣問題的人。
... 繼續閱讀 ...
我記得我最早在 2008 年就因為一個標案串接過 e 政府服務平臺的單一登入機制,事隔多年後,竟然什麼也沒有變,還是一樣透過 SOAP Web Service 來進行驗證。今天這篇文章我就來說說如何透過 .NET 7 實作 e 政府服務平臺的單一簽入機制,以及說明如何用 .NET 呼叫以 SOAP 為基礎的 Web Service 服務。
... 繼續閱讀 ...
前陣子在研究 TOTP (Time-based One-Time Password) 的實作方式,發現還蠻容易的,這篇文章我就來記錄一下實作的注意事項。
... 繼續閱讀 ...
由於每一家不同的 OAuth 2.0 Provider 對於 Refresh Token 的核發方法都不盡相同,這篇文章我打算記錄一下 Google OAuth 2.0 發出 Refresh Token 的方法。
... 繼續閱讀 ...
從 ASP.NET Core 7.0 開始,.NET SDK 7 內建支援 dotnet user-jwts 命令,可以幫助你管理開發時期所需的金鑰與 JWT Tokens,我深入的把玩了一下,發現還真的好用,這篇文章我就來說說怎樣使用。
... 繼續閱讀 ...
ASP.NET Core Data Protection 提供了一組加密 API (cryptographic API) 來保護資料安全,其中還自動包含了密鑰管理(key management)與密鑰更換(key rotation)等機制。這套技術主要用來長期取代 .NET Framework 的 ASP.NET 1.x ~ 4.x 中 web.config 定義的 <machineKey> 元素,我研究之後發現這套機制不但簡單好上手,背後的金鑰管理也有一定程度的複雜度,可算是相當不錯的資料保護解決方案。這篇文章我想帶大家快速上手 ASP.NET Core 資料保護機制,並透過一個簡單範例說明他的加解密的用法。
... 繼續閱讀 ...
我們都知道 OAuth 2.0 提供了一系列授權的流程標準,但各家 OAuth 2.0 提供者通常都有各自的授權管理機制,這部分並沒有規範在 OAuth 2.0 規格中,因此不同平台之間的實作差異相當大。今天我以「使用者」的角度來看「授權」這件事,當我們授權給「用戶端」應用程式之後,若想撤銷授權,這篇文章特別整理各個不同平台撤銷權限的主要網址。
... 繼續閱讀 ...