访问令牌

最新推荐文章于 2022-05-15 09:04:20 发布
最新推荐文章于 2022-05-15 09:04:20 发布
阅读量299 收藏
点赞数
文章标签: 数据结构与算法 人工智能
原文链接:http://www.cnblogs.com/debug-me/p/7201721.html
版权

  访问令牌是安全引用监视器用来识别进程或者线程安全上下文的内核对象。安全上下文由描述特权、账号和进程或者线程所属的组等这些信息组成。在登录的过程中,winlogon创建一个初始的令牌,该令牌代表了登录用户,winlogon将这个令牌附加到userinit.exe进程中。由于进程在默认情况下会继承创建者的令牌,因此用户的所有进程都拥有相同的令牌。

  token的数据结构如下(winxp)

kd> dt _TOKEN
nt!_TOKEN
   +0x000 TokenSource      : _TOKEN_SOURCE
   +0x010 TokenId          : _LUID
   +0x018 AuthenticationId : _LUID
   +0x020 ParentTokenId    : _LUID
   +0x028 ExpirationTime   : _LARGE_INTEGER
   +0x030 TokenLock        : Ptr32 _ERESOURCE
   +0x038 AuditPolicy      : _SEP_AUDIT_POLICY
   +0x040 ModifiedId       : _LUID
   +0x048 SessionId        : Uint4B
   +0x04c UserAndGroupCount : Uint4B
   +0x050 RestrictedSidCount : Uint4B
   +0x054 PrivilegeCount   : Uint4B
   +0x058 VariableLength   : Uint4B
   +0x05c DynamicCharged   : Uint4B
   +0x060 DynamicAvailable : Uint4B
   +0x064 DefaultOwnerIndex : Uint4B
   +0x068 UserAndGroups    : Ptr32 _SID_AND_ATTRIBUTES
   +0x06c RestrictedSids   : Ptr32 _SID_AND_ATTRIBUTES
   +0x070 PrimaryGroup     : Ptr32 Void
   +0x074 Privileges       : Ptr32 _LUID_AND_ATTRIBUTES
   +0x078 DynamicPart      : Ptr32 Uint4B
   +0x07c DefaultDacl      : Ptr32 _ACL
   +0x080 TokenType        : _TOKEN_TYPE
   +0x084 ImpersonationLevel : _SECURITY_IMPERSONATION_LEVEL
   +0x088 TokenFlags       : Uint4B
   +0x08c TokenInUse       : UChar
   +0x090 ProxyData        : Ptr32 _SECURITY_TOKEN_PROXY_DATA
   +0x094 AuditData        : Ptr32 _SECURITY_TOKEN_AUDIT_DATA
   +0x098 OriginatingLogonSession : _LUID
   +0x0a0 VariablePart     : Uint4B
  token是长度可变的内核对象。其中有两个非常重要的成员,一个Group SID,指明了用户所属的组;另一个是特权列表,它决定了拥有该令牌的进程或者线程可以执行的操作。访问令牌的默认首要组和默认DACL将被应用到进程或者线程创建的对象中。

  token可分为首要令牌和模仿令牌,在0x80的偏移中可以得到令牌类型。

  该结构体的剩余部分提供了令牌的一些属性信息。如用windbg解析notepad进程的访问令牌

kd> !token  e2122a20
_TOKEN e2122a20
TS Session ID: 0x1
User: S-1-5-21-2000478354-261478967-682003330-1005(account2)
Groups:
 00 S-1-5-21-2000478354-261478967-682003330-513(XP4DEBUG\None)
    Attributes - Mandatory Default Enabled
 01 S-1-1-0(\Everyone)
    Attributes - Mandatory Default Enabled
 02 S-1-5-32-545(\BUILTIN\Users)
    Attributes - Mandatory Default Enabled
 03 S-1-5-4(NT AUTHORITY\INTERACTIVE)
    Attributes - Mandatory Default Enabled
 04 S-1-5-11(NT AUTHORITY\Authenticated Users)
    Attributes - Mandatory Default Enabled
 05 S-1-5-5-0-511418(不懂是什么)
    Attributes - Mandatory Default Enabled LogonId
 06 S-1-2-0(\LOCAL)
    Attributes - Mandatory Default Enabled
Primary Group: S-1-5-21-2000478354-261478967-682003330-513(XP4DEBUG\None)
Privs:
 00 0x000000017 SeChangeNotifyPrivilege           Attributes - Enabled Default
Authentication ID:         (0,808bf)
Impersonation Level:       Anonymous
TokenType:                 Primary
Source: User32             TokenFlags: 0x11 ( Token in use )
Token ID: 148ce3           ParentToken ID: 82838
Modified ID:               (0, 148c79)
RestrictedSidCount: 8      RestrictedSids: e2122b30
在上面的分析中,Source就是TOKEN结构体+0x000偏移的值,指明了创建进程的实体。令牌的本地唯一标识符LUID由SRM创建并分配给令牌。Authentication ID是另一种类型的LUID,当令牌的创建者调用LsaLogonUser时分配给令牌。我们可以使用Authentication ID来判断不同进程是否同属于一个登陆会话。

  受限制的访问令牌则是把进程或者线程的首要访问令牌或者模仿访问令牌传递给CreateRestrictedToken函数得到的返回的访问令牌。该函数将通过以下三种方式限制访问令牌的权限,保护对象:

  1. 移除令牌的特权
  2. 将deny-only属性应用于令牌的sid中,这样进程或者线程将无法访问保护对象
  3. 指定一个受限制的SID列表,限制对保护对象的访问

  下图是以当前用户身份运行notepad程序后,进程访问令牌的属性,里面列举了受限制的访问令牌:

  

 

转载于:https://www.cnblogs.com/debug-me/p/7201721.html

weixin_30878361
关注
亚马逊SPAPI的PII权限的使用指南
乔丹码得的博客
08-30 5445
1.前言 Amazon于2020年10月推出了新的AGS(Amazon Global Selling)的api管理方案叫Selling Partner API,简称SP-API,用于替代MWS API方案。在业务API中,有些API所涉及的数据关系到卖家及买家的个人身份隐私数据,Amazon为了符合各国的数据安全保护规定以及 Acceptable Use Policy and Data Protection Policy的规定,所以将涉及隐私数据的API的权限归类为PII(Personally Identi
亚马逊SP-API对接实践解析(amazon selling partner api)
热门推荐
乔丹码得的博客
08-31 2万+
1.前言 亚马逊(amazon)在2020年10月推出了新的替代MWS的api方案,称为Selling Partner API(SP-API). SP-API在授权方式、权限管理、覆盖站点、支持的卖家模式、接口交互数据格式上都做了升级优化,当然目前这个SP-API还不够稳定,亚马逊也一直在改进和优化中。在不久之后,它将替代MWS发挥AGS的API的管理店铺等作用。在其github中的discussion中就有很多announcement发布MWS的api在某某截止日后不能使用,需要迁移到SP-API。比如第
访问令牌(access token)
x-2010的笔记
10-31 9420
访问令牌是用来描述进程或线程安全上下文的对象,令牌所包含的信息是与该user账户相关的进程或线程的身份和权限信息。当user登录时,系统通过将user输入的密码与储存在安全数据库中的密码进行对比。若密码正确,系统此时会为user生成一个访问令牌。之后,该user执行的每个进程都会拥有一个该访问令牌的拷贝。 当线程和一个安全对象交互时或者线程试图执行一个需要权限的系统任务时,系统使用访问令牌来辨别user。访问令牌包含以下信息:
亚马逊Amazon SPAPI买家姓名、地址等受限数据通过RDT、restrictedDataToken获取
深度的博客
04-28 2009
获取 restrictedDataToken # app/services/sp_api/base/tokens_api.rb require 'tokens-api-model' module SpApi::Base class TokensApi def initialize(merchant) client = AmzSpApi::SpApiClient.new @api_instance = AmzSpApi::TokensApiModel::TokensApi.
访问令牌(AccessToken)与刷新令牌(RefreshToken)
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
MultipleAccessToken:多路访问令牌
05-10
在IT行业中,尤其是在Web开发领域,访问令牌(Access Token)是一种常见的身份验证和授权机制,用于保护API资源的安全。本文将深入探讨“MultipleAccessToken”这一主题,它涉及到多个访问令牌的管理和使用,主要...
twauth-web:一个简单的Python Flask网络应用程序,演示了获取Twitter用户OAuth访问令牌的流程
02-06
twauth网站 一个简单的Python + Flask Web应用程序,演示了获取的流程。 建立 从Twitter开发人员门户获取消费者密钥和机密。 该应用程序应配置为启用“使用Twitter登录”。 有关更多详细信息,请参见twauth-web.py ...
darkfbv1.9:脚本黑客通过访问令牌登录Facebook
03-07
"darkfbv1.9: 脚本黑客通过访问令牌登录Facebook"这个标题揭示了一个网络安全问题,涉及到黑客利用特定工具(darkfbv1.9)侵入Facebook账户。"脚本黑客"通常指的是使用自动化脚本进行攻击的恶意行为者,而“访问令牌...
accesstokenforcse:获取与 CSE api 一起使用的访问令牌的简单示例
07-04
4. **使用访问令牌**:将获取到的访问令牌附带在后续对CSE API的请求头中,如`Authorization: Bearer <access_token>`,这样API就能识别你的请求,并验证是否具有访问权限。 5. **刷新令牌**:当访问令牌过期后,...
gimme-token:轻量级访问令牌服务
05-23
一种轻量级的访问令牌服务,在DropWizard之上以Java内置。 它能做什么 通过http api生成,认证和管理随机且安全地为唯一密钥生成的令牌的服务。 该服务旨在作为大型应用程序使用的微服务,在防火墙后面使用(仅http...
关于进程访问令牌( access token )
远有青山
05-25 1万+
An access token is an object that describes the security context of a process or thread. The information in a token includes the identity and privileges of the user account associated with the pro
访问令牌、权限和用户标识
编辑编辑器
04-29 4518
进程的权限继承自创建进程用户和用户所属的用户组。用户有专用数据结构来表示权限—访问令牌(Access Token)。访问令牌包括两个部分:一个是令牌所表示的用户,包括用户标识符(SID),用户所属的用户组等;另一部分是“权限”(Privilege)。 在进程访问安全对象时,会用到SID。每个安全对象都有访问控制列表(ACL),ACL说明了哪些用户( SID)能访问本对象,哪些不能,以及能进行哪种
Sessionid和Token的区别
kong
07-24 1万+
Session和Token的区别 在理解Session和Cookies的区别后:传送门 1、session出现的原因 因为http协议本身是无状态的,这样你本次请求和上次请求无法判断是不是同一个人操作的。 2、session的生成方式 浏览器在第一次访问服务器时,服务器会创建一个session,然后同时为该session生成一个唯一的会话sessionid。然后将sessionid和...
用户系列之三:用户登录及访问资源的过程之访问令牌
weixin_34019144的博客
12-26 228
各位都知道,工作组下本地用户登录需要到本地的SAM数据库中做身份验证,而域用户如果在域内的客户机上登录,需要到AD数据库中作身份验证。我在这里仅以域用户为例来说明用户的详细的登录过程。 如果是你是域用户,在域内的客户机登录,必须选择登录到域,此时你的这台计算机会到DNS服务器上找到该域的DC是谁,由DC负责对用户的身份进行验证,如果验证通过,那么该用户就能正常登...
令牌Token和会话Session原理与攻略
weixin_30687051的博客
05-15 326
本篇文章将从无到完整的登录框架或API详细讲述登录令牌原理、攻略等安全点。 有些协议或框架也喜欢把令牌叫票据(Ticket),不论是APP还是Web浏览器,很多框架或协议都用到了本文所说的这套类似的认证机制(客户端各种加密用户名密码当我没说),这里的以Asp.net core下Web登录和验证为例子进行讲述,但原理攻略和语言、框架都无关。 目录: 一、过...
windows内核情景分析 --- 权限管理
maomao171314的专栏
04-04 1778
Windows系统是支持多用户的。每个文件可以设置一个访问控制表(即ACL),在ACL中规定每个用户、每个组对该文件的访问权限。不过,只有Ntfs文件系统中的文件才支持ACL。 (Ntfs文件系统中,每个文件的ACL是作为文件的一个附加属性保存在文件中的)。 不仅ntfs文件支持ACL机制,每个内核对象也支持ACL,不过内核对象的ACL保存在对象头部的安全属性字段中,只存在于内存,对象一销毁,
Windows下如何创建低权限进程
weixin_33795833的博客
10-10 439
1. 前言 在使用 Sysinternals出品的 Process Explorer 过程中,对 “Run as Limited User” 功能的实现方式颇感兴趣,一番搜寻之下发现Mark大神在《Running as Limited User – the Easy Way》中对该功能的实现做了相关的阐述: use the CreateRestri...
Github创建个人访问令牌教程
qq_46941656的博客
08-16 2万+
Github创建个人访问令牌教程 一、前言 2020 年 7 月,Github官方宣布打算要求对所有经过身份验证的 Git 操作,使用基于令牌的身份验证(例如,个人访问、OAuth 或 GitHub 应用程序安装令牌)。从 2021 年 8 月 13 日开始,将在 GitHub.com 上对 Git 操作进行身份验证时不再接受帐户密码。 因此对于开发人员来说,如果无法再用密码对 GitHub.com 的 Git 操作进行身份验证,则必须通过 HTTPS(推荐)或 SSH 密钥开始使用个人访问令牌,以避免中断
huggingface访问令牌
最新发布
08-20
Hugging Face是一个提供自然语言处理模型和工具的平台,广泛用于机器学习和深度学习领域。Hugging Face平台上的访问令牌(Access Token)是用于验证API请求的凭证。当你使用Hugging Face的Transformers库或者其他服务时,可能需要一个访问令牌来授权访问访问令牌通常在注册Hugging Face账号后生成。用户可以按照以下步骤获取访问令牌: 1. 注册并登录Hugging Face账号。 2. 访问用户个人中心的设置页面。 3. 在设置页面中,可能会找到生成或管理访问令牌的选项。 4. 根据平台提供的指示,创建一个新的访问令牌,并复制该令牌。 请注意,应妥善保管访问令牌,防止泄露给未经授权的第三方,因为令牌可以用于调用API接口,访问和修改你的账户信息。在编程时,需要将获取的访问令牌添加到HTTP请求头中,以确保身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值