1回答
我计划在django中使用ACCESS_TOKEN来保护我的rest API。当每个用户使用他们的用户名和密码登录时,一旦他们通过了身份验证,我就会生成一个ACCESS_TOKEN并将其传递到前端,无论是网站还是本地应用程序。然后使用该ACCESS_TOKEN进行进一步的通信。我基于一些用户数据生成此令牌,然后使用公钥对其进行加密。稍后,当应用程序在任何请求中发送此请求时,我使用私钥解密ACCESS
浏览 12提问于2017-01-31得票数 0
我正在使用IdentiyServer向客户端发布JWT令牌,令牌包含角色声明和一些其他声明,这部分工作得很好,我得到了具有所需声明的访问令牌。在我的web API应用程序中,我添加了以下代码来支持JWT身份验证: {};
问题是,假设黑客生成了一个JWT令牌,并声称他想要并对其进行签名,我的web ap
浏览 3提问于2021-03-06得票数 2
1回答
问题是来自SPA的JWT使用一个秘密密钥进行签名,而来自服务的JWT则使用各自的密钥进行签名。我需要配置我的端点,以便它们能够接受使用这些秘密密钥构建的JWT,对吗?2.服务对服务请求,包括:aud: API-ID使用HS256签名(现在是为了保持简单),使用调用服务的客户
浏览 1提问于2017-05-15得票数 5
回答已采纳
我是JSON网络令牌和微服务的新手。我在一篇文章中读到,如果我共享私有,所有的服务都可以自己验证用户。然后我试着实现一个应用程序来练习。基本上,我有两个服务A和B。A用于身份验证。然后,我尝试实现一个需要在服务B中进行身份验证的API。但是,当我在API中使用由身份验证A生成的令牌时,会显示401状态代码和"Invalid signature“。被退回了。
浏览 4提问于2017-07-19得票数 0
根据,JSON令牌应该通过以下标题传递:我还想为我的客户端API密钥使用JSON令牌。如果每个客户端都使用不同的密钥来编码JSON令牌,那么我如何知道要使用哪个密钥来解码令牌呢?当为API使用JSON令牌时,人们通常如何处理这个问题?我曾想
浏览 7提问于2017-01-25得票数 0
回答已采纳
但是,我需要解码这个令牌,以获得生成令牌时设置的uid和其他自定义声明。我发现的另一个解决方案是使用jwt nodejs模块来解码此令牌。然而,jwt需要一个<
浏览 3提问于2021-08-05得票数 1
1回答
我在DC/OS (Mesos)上使用Jenkins,该服务没有标准登录,而是使用Mesos/Zookeeper进行身份验证。我可以访问JENKINS_HOME并拥有每个用户的配置文件。我找到了这段代码:
from /root/decrypt_api.rb:28:in `decrypt'
from /root/
浏览 0提问于2017-06-23得票数 3
2回答
我使用MS作为资源所有者(R.O)+ Auth Server(A.S)。
我还创建了一些要包含在访问令牌中的自定义作用域(即属性)。我不想使用OIDC。我只想通过OAuth2实现这一点
浏览 3提问于2020-09-02得票数 0
回答已采纳
1回答
JWT刷新令牌的全部意义是什么?
、、、、
到目前为止,我所理解的是,JWT正在存储由服务器编码的信息,可以有过期时间,而具有秘密密钥的服务器可以对其中的信息进行解码,如果它是有效的。合乎道理。它对于可伸缩性很有用,因此独立的API可以解码并验证令牌中的信息,只要它们有秘密密钥。而且,不需要将信息存储在任何数据库中,而不需要存储在会话中。合乎道理。因为对我来说,刷新令牌似乎基本上是一个访问令牌(因为它就是这样生成的)。因此,
浏览 3提问于2021-11-01得票数 15
回答已采纳
1回答
我们使用来编写NodeJs。现在为了实现这一点,我们有了,它看起来就是我们想要的。它将以json格式存储所有角色和角色权限( api端点),我们将以jwt进行编码,然后获得生成的访问令牌,稍后我们可以解码该令牌以检查有效
浏览 1提问于2016-10-27得票数 1
1回答
我使用cookie-session,并且可以通过使用这个解决方案从头部解码cookie
// session=eyJwYXNzcG9ydCI6eyJ1c2VyIjoiNWNiMzdiYzUzZTA2M2YxN2U2M2EzNDdkIn19
浏览 0提问于2019-06-10得票数 0
1回答
无法解码JWT令牌PHP
、、、
我试图用下面的代码对给定的令牌进行解码。密钥应该是base64编码的。然而,当我试图解码时,它告诉我我有无效的签名。令牌是从使用Java的系统生成的,我必须用PHP对其进行解码。令牌:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyZXN1bHQiOiJzdWNjZWVkZWQiLCJpc3MiOiJ4eXoubmUuanAiL
浏览 4提问于2020-08-12得票数 2
回答已采纳
2回答
我使用OpenID连接来控制对REST的访问。在为请求提供服务时,我需要做的一件事是根据请求的头中的访问令牌获取Authorization: Bearer ...。到目前为止,我一直在使用JWT,这很好。我正在考虑将其扩展到与不透明令牌一起工作。
从访问令牌中提取iss。HTTP获取userinfo_endpoint,将访问令牌作为Authorizat
浏览 4提问于2021-05-27得票数 0
回答已采纳
2回答
有没有办法让租户特定的JWT令牌
、、、、
我目前正在开发一个在后端使用Python/Flask API的SPA应用程序(angular)。 这个应用程序将支持多个租户,我在安全概念上有点困难。我目前使用的是jwt-extended 颁发的JWT令牌对所有租户都有效(当然,我可以从令牌中获取用户,然后检查用户是否应该有权访问该租户),但我会使用特定于租户的JWT令牌(这样用户就会被@jwt_required(使用app.config('JW
浏览 75提问于2019-09-13得票数 1
回答已采纳
2回答
为了访问API的令牌,我在将curl代码转换为python时遇到了问题。token', headers = header)从API目录获取您的消费者密钥和消费者机密。这些是在应用程序成功订阅API后在订阅页面上生成的。将消费者密钥和消费者密
浏览 0提问于2015-04-21得票数 0
1回答
在加密的访问令牌中存储重要数据安全吗?例如,与其将访问令牌存储在数据库中,不如完全不存储它们,并在加密之前将它们的相关数据放入其中。
就像在。我正在设置一个Oauth认证服务器。我通过将令牌的时间戳、令牌请求的IP地址、请求的主体以及其他一些数据作为字符串来创建访问令牌。然后,我在Base64中对字符串进行编码,并通过强加密运行它。当令牌被提交时,我使用我的<em
浏览 0提问于2014-10-08得票数 1
回答已采纳
每当访问令牌过期,或者用户第一次访问时,Azure Active Directory登录或同意窗口都不会显示在IFrame中,因为X-Frame-Option对于AAD屏幕是拒绝的,有没有办法使用JS知道会话已经过期我们正在尝试获取基于刷新令牌的访问令牌。请告诉我是否有更好的方法来处理访问令牌。
浏览 1提问于2017-07-18得票数 2
1回答
我使用JWT令牌对用户客户端进行身份验证。
在我的服务器上,我指定了一个密钥来对令牌进行编码。在客户机上,我想对这些令牌进行解码并验证其有效性,但是在不向客户端公开秘密的情况下,如何才能做到这一点(我假设这是不允许的)
浏览 1提问于2016-02-17得票数 0
1回答
加密RSA中需要使用的密钥格式
、、、、
我使用这个Java函数来创建密钥对。我想在我的rsa php代码中使用这个密钥。是否需要转换为任何特定格式?但出于我的好奇心,在使用相同的数据运行相同的代码时,每次创建不同的令牌。我只是想确认一下。
在php中有没有其他方法可以使用RSA公钥加密数据?
浏览 0提问于2014-04-04得票数 0
1回答
我目前正在使用auth0-js库v8根据Auth0对用户进行身份验证。这个库使用RS256对JWT令牌进行强制签名。在经过身份验证的响应中返回令牌之前,我想暂时解码令牌,并使用HS256/我的当前客户端密钥对其进行重新编码。我可以为此使用Auth0规则吗?知道怎么回事吗?
浏览 0提问于2017-04-25得票数 0
云服务器
ICP备案
云直播
对象存储
即时通信 IM
腾讯云开发者
