描述JWT用法的每个示例代码都会讨论有效负载,通常是用户信息,如名称和角色。我想知道在JWT中编码这些信息有什么意义,因为JWT没有额外的安全性,只会给前端增加负担,让它加载一个专门用于解码JWT的库。我想问的是,是否有理由进行这种编码,而不是只将用户数据(或您需要传递的任何有效负载)与答案中的JWT一起发送。目前我正在发送:(这是ExpressJs代码) const jw
浏览 27提问于2020-03-16得票数 1
回答已采纳
1回答
上下文:我正在通过jwt使用node.js验证一个应用程序。var payload = jwts.encode({id: user.id}, jwtOptions.secretOrKey);var token = jwt.sign(payload, jwtOptions.s
浏览 0提问于2017-01-07得票数 0
回答已采纳
我正在尝试为我的web应用程序使用JWT实现身份验证/授权系统。当客户端显示凭据时,就会从我的服务器上提供常规JWT格式的令牌,我将对数据库进行检查。我认为可能会出现的问题是,据我所知,JWT令牌没有以任何方式加密或签名,因此我可能是MitM的受害者,在那里有人正在更改我的有效负载中的声明,并发送响应或只是窃取数据。我发现可以通过使用HMAC或更好地使用RSA私钥/公钥对来签名JWT令牌来解决这个问题,但同样,RSA公钥应该附加某种证书,因为公钥可能
浏览 0提问于2017-01-31得票数 1
1回答
存储在jwt有效载荷中的更新字段
、、、、
我使用passport.js和jwt对应用程序中的用户进行身份验证。我正在使用一个有效负载来签署jwt令牌,其中包含一个化身字段,以便在我的应用程序中使用该化身。现在,我希望用户能够编辑他们的化身。我实现了这个特性,并很好地解决了一个问题:尽管在mongodb中更新了avatar字段,但只有在我注销并重新登录之后,应用程序中才会显示这些更改。(在令牌重新签名之后)考虑到
浏览 0提问于2018-08-09得票数 2
回答已采纳
1回答
除非加密,否则不要将秘密信息放入JWT的有效负载或头元素中。
这个部分对我来说很清楚,即使使用内置的调试器,我也可以看到头和有效负载仅是base64 64编码的。在我看到的示例中,用户传递他们的凭据,然后是他们收到的 (我理解这个例子有缺陷,因为它不使用HTTPS --这里我专门询问HTTPS请求)。因此,我的问题是,如果通过HTTPS POST的请求体发送用户凭据是可以的,那么最佳实践为什么对JWT的头或<e
浏览 14提问于2022-10-04得票数 1
2回答
实现JWT的最佳方法?
、、、
我正在创建JWT身份验证,并有一些疑问:
为了提高安全性,可以将用户的令牌保存在数据库中,并检查每次API发送的令牌是否与保存到数据库中的令牌匹配?它真的有用吗?为了避免在会话中保存用户信息,在JWT的有效负载中放置电子邮件(如果他是管理员等)是个好主意吗?如果我将用户信息保存在JWT的有效负载中,并且用户更改了他的电子邮件或其他信息,我如何能够自动更新保存在
浏览 2提问于2016-03-01得票数 0
我在url中有这样的值 url: demo://app?eyJwcm92aWRlciI6Imtha2FvIiwiaWF0IjoxNjE4MzIwOTg1fQ.Ver4V9lOBamkgU-DQC91LnVZLuvkLOGgytXPnkOWsFg
我想解析url中的令牌,并将其放入maintoken中。
浏览 7提问于2021-04-13得票数 0
1回答
早上好, 我正在编写我的第一个DRF,并使用django-rest-framework-jwt (https://getblimp.github.io/django-rest-framework-jwt/)来处理JWT身份验证。我目前使用的是内置视图: from rest_framework_jwt.views import obtain_jwt_token
from rest_framework_jwt.views import
浏览 23提问于2019-02-07得票数 0
回答已采纳
1回答
jwt令牌有效负载中的过期信息
、、、、
正如中所写的,“有效负载包含任何声明形式的任意信息,我们作为开发人员发现这些信息对我们的应用程序很有用。”因此,我认为将username、email等放在那里会很方便。在这种情况下,我不需要在身份验证过程中从数据库或文件系统获取此信息。如果app分布在许多服务器上,它被吹捧为一个优势。
但我发现这里有一个恼人的障碍。如果由于更改用户帐户信息而更改了有效负载,该怎么办?由于签名仍然有效,因此所有旧的颁发令牌都保持有效。因此,我将从旧令牌
浏览 1提问于2015-10-21得票数 0
1回答
我读了很多关于JWT (JSON web token)用于身份验证的文章,我真的很困惑,因为每个人对使用它们的安全方式都有不同的看法。我所说的安全,是指处理注销和密码更改。另外,哪些数据不应该保存在JWT有效负载中。
我的问题是,在使用JWT进行身份验证时,有没有什么行业标准,如果有,是什么?如果不是,在JWT中保存密码散列和注销日期以处理注销和密码更改是否安全,如果不安全,还有什么替代方案?
浏览 2提问于2020-03-02得票数 0
3回答
我在使用passport和jwt设置我的第一个项目时遇到了问题。使用Postman时,我尝试使用不同的帐户登录,但如果我尝试返回req.user对象,它将返回同一用户的信息。否则,如果我尝试登录jwt_payload,它是正确的(不同用户的信息)。有人能给我解释一下原因吗?(我插入选项session: false)var confStrategy = function(passport) {
passport.use( new JwtStrategy( opts, function(jw
浏览 2提问于2016-10-07得票数 2
4回答
在将从客户机(在本例中为React )发送的数据有效负载签名到我的服务器时,我试图理解使用带有私钥/公钥(RS512)的JSON令牌的逻辑。我想,在每个API请求到我的服务器时,应用程序的经过身份验证的用户将使用公共密钥来创建JWT (在客户端),而服务器将使用私有密钥来验证来自API请求的签名/有效负载。我似乎倒过来了,因为无论我读到什么地方,你都应该用私有密钥签署一个JWT
浏览 5提问于2020-03-05得票数 36
目前,我正在学习用PHP实现JWT,并希望在我的RESTful应用程序中使用JWT令牌而不是会话。在创建签名的过程中,我正在做这样的事情在这里,我们只是使用base64的有效载荷如果我粘贴在像这样的站点中,就会解密有效载荷(即使签名是错误的)。
当发送数据时,JWT只用于验
浏览 6提问于2017-04-19得票数 17
回答已采纳
目前,我希望将gRPC方法公开为Public,并由Auth0 (JWT令牌)保护,Istio(特使代理)将有助于在服务器端验证令牌。由于JWT令牌不是由标准加密的(它只用于终端用户身份验证和授权层),所以我想使用TLS加密通信。另外,我的公共服务器已经有了有效的证书。
问题在gRPC客户端。我看过的每个示例中,gRPC客户端都必须使用服务器cert文件初始化TLS连接。真的有必要吗?
浏览 0提问于2018-09-25得票数 4
回答已采纳
最近我读到了一些关于JWT/JWS和JWE的文章。但是..。有一部分我仍然不明白,我很确定我在某个地方读到他们都应该是“无国籍的”,这是真的吗?我对此的看法是,JWS和JWE将需要“获取者”和“发行者”之间的共享秘密才能解密有效负载(以及CEK以及不依赖于JWS或JWE的内容)。我的问题是..。JWS和JWE真的是无状态的吗?或者孩子是用来获取我们的秘密,例如,一个数据库来解密有效载荷和/或CEK?
为了澄清,在使用JWS和
浏览 1提问于2018-01-27得票数 1
1回答
我使用带有access和刷新令牌的JWT实现了一个身份验证流。我使刷新令牌在很长一段时间后过期,并且可以强制重置它们,以防止被盗的刷新令牌再次被使用。为此,我使用bcrypt散列jwt刷新令牌,并将其存储在我的数据库中。然而,在将原始jwt与散列进行比较时,我总是得到一个真实的结果,我不知道为什么。我搜索了一些位,我认为这是因为bcrypt不喜欢191个char令牌,并将它们限制到最大长度,而且由于jwt的第一部分类似,所以在比较哈希
浏览 2提问于2022-01-17得票数 3
我在我的JWT中有这个有效负载,在JWT中,我将只为特定用户提供admin角色(在迁移时,我只为一些用户提供admin true,之后为每个新的注册用户提供admin - false ) "name": "John Doe", "id":1例如,当用户登录时,我将从服务器发送的jwt保存在本地存储
浏览 2提问于2020-12-11得票数 3
当系统中的用户登录生成JWT令牌时,我需要向有效负载添加一个userId。我只是想不出怎么把任何东西加到有效载荷上。在登录时创建JWT的代码是: responses: { description: 'Token'如何向生成的JWT有效载荷中</
浏览 6提问于2020-08-21得票数 1
1回答
但是,我最近用angular2-jwt包中的AuthHttp替换了Http模块。现在有了AuthHttp,它停止在post请求中将body作为有效负载发送到服务器。return this.authHttp.post(url, JSON.stringify(body)).map((res: Response) => {});
上面的代码不会将正文作为有效负载发送到服务器当authHttp被替换为http时,它会按预期发送<
浏览 1提问于2017-10-07得票数 0
4回答
现在它允许在注销后进入路由。@app.route('/logout', methods=['POST'])def logout(): user.authenticated
浏览 6提问于2017-06-08得票数 8
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
