我的设置如下。当用户通过我的react前端登录时,我向服务器端发出一个api调用,在服务器端生成一个JWT令牌,并将其以仅限HTTP的安全cookie的形式发送回来。从前端进行的任何后续API调用都将设置此cookie,因此我只需在处理请求之前检查服务器端。 问题来了,在前端保护我的路由。现在,我拥有的每个组件
浏览 17提问于2019-04-25得票数 0
1回答
JWT和身份验证安全/模式
、、、、
我在javacript中使用JWT令牌构建一个身份验证和授权系统,基本上在登录时,我存储在httponly cookie中:
JWT令牌用户信息(id、用户名、电子邮件)JWT过期(从生成时起5分钟)当JWT仍然有效时,受保护的页面将对用户有效性进行远程检查(我请求一个作为授权持有者传递userId和auth令牌的</e
浏览 3提问于2022-03-06得票数 0
回答已采纳
JWT遵循基本原则(编码秘密、过期日期、发行者检查等)。服务器有servlet过滤器,用于检查每个请求的有效性。当通过客户端登录时,服务器使用有效的JWT进行响应:客户端将在每个请求中发送其cookie,服务器的servlet过滤器将进一步检查每个请求的有效性。现在,我决定不再使用刷新令牌并将其放置在客户端的本地存储<em
浏览 0提问于2021-05-26得票数 2
回答已采纳
1回答
如上图所述,使用JWT访问令牌RP对Resource (RP)的每个API调用都确保了来自IDP服务器的令牌可靠性,现在我需要添加我的自定义以检查IDP端的令牌可靠性。,当我调用(RP)上的授权API端点时,我在其中一个实现上的断点会命中。但我的断点没有命中。是否有其他接口或服务负责
浏览 21提问于2022-08-13得票数 0
回答已采纳
建议我们应该在每次请求时更改我们的CSRF令牌,以防止入侵攻击。也就是说,如果我们使用gzip/brotli和每个会话的CSRF令牌,以及SSL,我们的令牌只有1000个请求就容易受到攻击。假设这是真的,在不破坏后退/前进和多个选项卡的情况下,如何在每个请求上重新生成CSRF令牌?显而易见的解决方案是在我们的会话中存储一个有效的</em
浏览 8提问于2017-07-11得票数 1
1回答
其余的API由JWT令牌保护。目前,我只生成访问令牌(未实现刷新令牌概念)。我的问题与这个场景中的用户登录/注销有关。大多数博客建议,在登出时,维护DB中黑名单中的令牌列表。这不会导致不必要的无效令牌的大列表吗?我的做法正好相反。请让我知道这种方法
浏览 0提问于2021-06-27得票数 0
回答已采纳
1回答
在SPA中处理jwt过期
、、、
这个命令给了我一个JWT,其中甚至连公钥都是加密的,我唯一拥有的就是jwt编码。
我在所有的http调用中添加了jwt,问题是我的应用程序只有5个http调用,其中4个是get,只有1个是put。我的问题是,我只能在前4个http调用中检查令牌的有效性,并且在所有数据被缓存之后,所以我不能再控制令牌的<
浏览 4提问于2019-05-15得票数 0
1回答
This question谈到了使用刷新令牌来延长访问令牌寿命背后的理论和工作流程。正如链接的答案所建议的,我应该(1)在应用程序打开时进行过期检查,(2)每x小时定期检查一次,如果访问令牌即将过期,则刷新访问令牌。 我的问题是,我到底如何在React或任何前端代码中实现这一点?假设我的单页面应用程序有3个页面,每个页面都有5个组件。 当用户打开
浏览 25提问于2020-07-14得票数 0
我正在从事一个blazor服务器端项目(为将来的工作项目学习)。我正在尝试在应用程序中实现身份验证,就像在带有httpcontext.SignInAsync(CookieDefaults.AuthenticationScheme,主体的asp.net核心应用程序=>中一样;但是我真的找不到任何关于=>的东西,Cookie或JWT Auth在blazor服务器端应用程序中是可能的,或者更好地说是符合逻辑的?我的</e
浏览 65提问于2021-03-25得票数 1
回答已采纳
在一些在线教程之后,我在next-auth中实现了这一点 import NextAuth from "next-auth" } }), ], async jwt,以便在进一步调用我的API<
浏览 98提问于2021-11-08得票数 0
1回答
据我所知,JWT的主要用途是我们可以将与用户相关的数据存储在JWT令牌本身中,并且在资源服务器的令牌验证期间它可以节省不必要的DB命中。问题是,如果我将数据存储在JWT中,这些数据随着时间的推移而发生变化,比如角色或用户菜单列表或用户状态,它如何处理这些更改。
考虑一下这个场景。具有管理角色的用户已经登录到web应用程序中,登录
浏览 0提问于2020-07-04得票数 1
据我所理解,使用JWT身份验证可以使CSRF令牌检查变得不必要,只要令牌没有存储在cookie中。但是,在检查django-rest-framework-jwt代码和Django CsrfViewMiddleware时,我不明白是哪一部分代码关闭了基于JWT的身份验证的CSRF令牌检查。有人知道并能指出代码的相
浏览 0提问于2018-08-20得票数 0
回答已采纳
当我们添加仅存储在浏览器cookie中的项时,它不会存储在持久数据库中,在任何情况下,用户都希望登录/注册从浏览器中检索cookie并存储在数据库中的帐户(基本上,匿名购物车被转移到登录用户中)。POC-1 (不考虑客人离职):
要访问我的api,用户必须登录,在成功登录后,我们生成一个rand令牌,并将其存储在Redis db中,
浏览 1提问于2015-09-17得票数 0
回答已采纳
因此,我正在开发一个应用程序,其中使用访问令牌(JWT,使用spring安全性)对用户进行身份验证--令牌被加密并存储在httponly cookie (Ngx)中,访问令牌的有效性为24小时,如果过期,将发出一个新令牌。目前,我正在处理本地主机,每当我进行api调用时,网络选项卡的标头中都可以看到承载令牌。我的问题是,当应用程
浏览 3提问于2021-07-22得票数 2
passport,passport-jwt,jsonwebtoken,express-jwt ..etc
我很困惑,什么时候使用哪一个和哪一个一起使用?
浏览 1提问于2017-02-18得票数 2
我已经构建了一个auth api,它处理通常的注册登录等等,它发布JWT(内置于java spring引导,mysql)。如何使用这些来保护使用Java、spring引导和MongoDB编写的单独的API微服务中的路由?示例:Service2 -(使用+ MongoDB)在网
浏览 2提问于2020-01-15得票数 0
1回答
我正在使用/user/logout创建一个路由dusterio/lumen-passport,在控制器操作中,我手动撤销导致用户注销的令牌。我的问题很简单:
管理令牌的最佳方法是什么?我应该删除还是撤销?将来,我将使用redis来存储<e
浏览 4提问于2017-12-07得票数 18
2回答
如何在前端使用RESTful API作为后端并由JSON令牌(JWT)授权,我们如何处理会话?例如,登录后,我从REST获得一个JWT令牌。如果我将它保存到localStorage中,我很容易受到XSS的攻击,如果我将它保存到cookie中,除了我将cookie设置为HttpOnly之外,还会出现相同的问题,但是React不能读取HttpOnly更新:
据我所知,这样做是可能<em
浏览 4提问于2017-08-28得票数 77
回答已采纳
我正在寻找资源来配置Apache KNOXTOKEN服务,以访问Apache NIFI REST API。 我已经配置了KNOXSSO,并且能够通过它访问NIFI。但是,我找不到资源来通过Curl和JWT安全地访问NIFI REST服务。 感谢您的指点。
浏览 87提问于2019-01-31得票数 1
回答已采纳
1回答
我一直在尝试将JWT实现到我的应用程序中,但有点困惑。目前,我使用BCrypt来进行哈希和加盐。我的文件在用户模型中如下所示 has_secure_password
validates :username, :email, :password_digest例如,我找不到任何关于用户使用BCrypt加密用户密码然后使用JWT的文章。我所看到的是人们提到通过将has_secure_
浏览 0提问于2018-10-18得票数 0
云服务器
ICP备案
云直播
实时音视频
即时通信 IM
腾讯云开发者
