如何根据用户输入在Jwt令牌上添加自定义声明?
Jwt令牌(JSON Web Token)是一种用于在网络应用间安全传递声明的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
要根据用户输入在Jwt令牌上添加自定义声明,可以按照以下步骤进行:
- 创建一个包含自定义声明的对象,该对象可以包含任何你想要在令牌中传递的信息。例如,你可以添加用户角色、权限、用户ID等信息。
- 使用一个Jwt库或框架,如jsonwebtoken(Node.js)或PyJWT(Python),将自定义声明对象添加到Jwt令牌的载荷中。载荷是一个包含令牌声明的JSON对象。
- 在添加自定义声明时,需要注意以下几点:
- 自定义声明应该是唯一的,以避免与其他声明冲突。
- 自定义声明的键名应该符合Jwt规范,通常使用字符串形式,如"role"、"permissions"等。
- 自定义声明的值可以是任何合法的JSON数据类型,如字符串、数字、布尔值等。
- 在生成Jwt令牌时,使用私钥对头部和载荷进行签名,以确保令牌的完整性和安全性。
以下是一个示例代码(使用jsonwebtoken库)来演示如何根据用户输入在Jwt令牌上添加自定义声明:
const jwt = require('jsonwebtoken');
// 用户输入的自定义声明
const customClaims = {
role: 'admin',
permissions: ['read', 'write'],
userId: '123456'
};
// 生成Jwt令牌
const token = jwt.sign(customClaims, 'your_secret_key');
console.log(token);在上述示例中,我们创建了一个包含自定义声明的对象customClaims,然后使用jsonwebtoken库的sign方法将其添加到Jwt令牌中。your_secret_key是用于签名的私钥。
请注意,以上示例仅用于演示目的,实际应用中应该使用更安全的方式来存储和管理私钥。
关于Jwt令牌的更多信息,你可以参考腾讯云的相关文档:
- Jwt令牌概述
- Jwt令牌使用场景
- 腾讯云API网关(Tencent API Gateway):提供了基于Jwt令牌的身份验证和访问控制功能。
相关·内容
1回答
我们在Goole Cloud中使用不记名令牌流:我们的合作伙伴/客户创建JWTs,使用私钥对其进行签名,然后将其发送到Google。Google返回一个JWT,然后合作伙伴/客户使用我们的API。 现在,我们希望允许这些合作伙伴向JWT添加自定义声明。我们只需要再多一个定义明确的声明,其他什么都不需要。google返回的JWT忽略了我们的自定义声明,它们根本不是我们最终得到的JWT的一部分。 如何允许合作伙伴在与Google签署其无记名令牌时设置自定义声明?
浏览 25提问于2019-07-03得票数 1
回答已采纳
我在应用程序中使用了以下代码来生成JWT,以便在REST API中进行身份验证: private string GenerateToken(List<Claim> identityFields)
{
var key = Convert.FromBase64String(__SECRET);
var securityKey = new SymmetricSecurityKey(key);
var descriptor = new SecurityTokenDescriptor
{
浏览 27提问于2019-01-23得票数 0
在我的云函数中,我需要创建一个自定义令牌并插入一些自定义声明。我是这样做的:
let additionalClaims = {
'https://hasura.io/jwt/claims': {
'x-hasura-default-role': 'admin',
'x-hasura-allowed-roles': ['user', 'admin'],
}
}
admin.auth().createCustomTok
浏览 4提问于2019-11-08得票数 0
1回答
文档相当模糊,与此主题相关的所有内容大多指向AAD。 我的要求是能够显示只有一个特定权限的用户的视频。这可以像在他们的JWT中拥有一个声明一样简单。使用AAD不是一个选择,所以我想知道是否有其他方法可以实现这一点。 我可以想象这项工作的方式是,您可以指定一个声明,希望Azure媒体服务检查传入的JWT是否具有该声明,然后指定令牌的AES密钥,或者如果您选择使用RS令牌加密,则提供证书。
浏览 7提问于2019-09-20得票数 2
2回答
我有一个使用Web创建的API端点来创建一个安全令牌。因此,用户在基本授权头中传递用户名:密码。将验证用户名/密码,并返回Json令牌。
现在,我的所有其他端点都将作为承载类型传递到授权头中的JWT中。我知道这通常是承载+ (jwt),但是传递无记名+用户名:(Jwt)也可以吗?
我想传递用户名:( jwt )的原因是,当我验证jwt时,我还想从jwt声明中提取用户名,并将其与在auth头中传递的用户名进行比较,作为额外的检查。
这种方法听起来不错吗?还是应该完全忘记进行用户名检查,因为它没有增加任何额外的安全性?
浏览 3提问于2021-05-28得票数 1
回答已采纳
1回答
因此,我了解了如何使用JWT完成身份验证,在JWT中,我们基本上使用私钥来验证令牌是否有效(假设RSA是算法)。如果令牌有效,则认为用户已通过身份验证。
我还读到了关于会话身份验证的文章,其中我们检查用户提供的会话id (通过cookie)是否存在于会话存储中(假设使用mysql / redis来存储会话)。如果存在,则认为该用户已通过身份验证。
但是我们如何使用JWT和session进行授权呢?让我们考虑一个动作,比如GET invoice,用户只能查看他拥有的发票。
如果我们认为用户已经通过身份验证,
如果我们使用的是JWT,我们如何检查用户是否被授权?
那么我们如何在会话中做到这一点呢?
浏览 2提问于2020-03-10得票数 0
我的应用程序为每个新注册的用户创建了一个自定义属性"userType“。现在,每当用户登录或令牌被刷新时,我希望将这个"userType“声明/属性添加到JWT访问令牌中。
是否有一个选项可以告诉cognito将我的自定义声明/属性添加到JWT访问令牌中?(没有预令牌生成Lambda)
浏览 4提问于2019-07-10得票数 27
回答已采纳
1回答
我有一个带有微服务体系结构的SAAS服务器。身份验证由新的完成。对于某些域情况,我希望能够为登录用户重新发出JWT,而不必强迫用户再次输入密码以通过附加声明充实他们的令牌。
具有的:使用索赔集A登录的用户。
Required:使用claim为用户创建一个新令牌(不需要用户干预)
我在找这样的东西:
@PostMapping("/renew")
public Authentication token() {
return jwtAuthenticationProvider.authenticate(
new BearerTokenAuthentic
浏览 6提问于2022-07-05得票数 0
1回答
我试图从JWT令牌中获取用户id。我获得了一个JWT令牌,并成功地对其进行了验证,但它没有返回id。
当我解码JWT时:
const decoded = jwt.verify(token, config.get('jwtPrivateKey'));
var userId = decoded.id
console.log(decoded)
我得到了以下输出:
{ iat: 1561463667 }
但我没有看到下面的输出:
id :"*****************"
如何从令牌中获取用户id?
浏览 2提问于2019-06-25得票数 9
回答已采纳
2回答
我正在使用MEAN stack来开发web应用程序。我选择它是完全无状态的RESTFULL。对于身份验证,我使用JWT(Json Web Token)策略。
客户端向服务器发送登录请求,服务器进行身份验证并将JWT和用户数据发送到客户端(这里是angular 2).I我将这个JWT令牌存储在cookie中。
现在我的问题是如何在视图中连续存储/显示用户详细信息。例如,如果我们认为Facebook是restful,在用户登录后,客户端显示用户数据,如个人资料图像、个人资料链接等。
因为Rest身份验证只检索数据,并在每个请求中发送凭据。
这些与用户相关的数据是如何保留在客户端的。就像每个请求一样
浏览 10提问于2017-08-04得票数 0
回答已采纳
我正在开发一个JWT,并使用.NET令牌来保护它。在研究实现它的最佳方法时,我决定使用jwt声明来限制对内容的访问,这取决于令牌上的特定声明。我现在可以手动验证,例如,一个userId是否与记录的userId的userId匹配,如果匹配,则返回它,但是这非常繁琐,并且不会很快地增加代码的数量以完成相同的任务.
是否有一种实现类似动作过滤器的方法,将声明应用于每个请求,并只返回与令牌中的信息匹配的记录?
事先谢谢大家
浏览 2提问于2022-08-16得票数 0
如何在JWT有效负载中返回属性name.formatted? 以下是我的声明配置: ? 以下是配置文件: ? 现在,服务提供商的声明配置: ? 这是JWT有效负载: ? 请注意,即使我将formattedName设置为“默认支持”,并将其添加到服务提供商的声明中,它也不会被添加到JWT中。诸如"family_name“这样的其他属性。 我遗漏了什么? 提前感谢!
浏览 15提问于2020-12-29得票数 1
回答已采纳
1回答
用户登录到Keycloak。它们生成一个jwt访问令牌。用户将此令牌提供给使用Keycloak保护的服务。
服务必须在令牌中验证什么才能确保令牌有效?
令牌和发行者的过期日期是我目前正在验证的令牌的两个方面。还需要什么?哪些其他令牌验证提供了更好的安全性?
浏览 1提问于2018-11-05得票数 0
回答已采纳
我有一个Micronaut微服务,它通过JsonWebTokens (JWT) 处理身份验证。
现在我想扩展这个代码。我的应用程序中的用户有一些额外的属性,如电子邮件、adress、teamId等。我在数据库中有所有用户。
如何在后端控制器方法中知道哪个用户对应于客户机发送的JWT?
指南包含了Micronaut REST控制器的示例代码:
@Secured(SecurityRule.IS_AUTHENTICATED)
@Controller
public class HomeController {
@Produces(MediaType.TEXT_PLAIN)
@Get
浏览 7提问于2020-08-18得票数 2
回答已采纳
使用https://github.com/netlify/gotrue-js与netlify的身份验证服务(称为"Identity")对接需要多频繁地执行以下操作: const user = auth.currentUser();
const jwt = user.jwt();
jwt
.then(response => console.log("This is a JWT token", response))
.catch(error => {
console.log("Error fetching JWT token&#
浏览 38提问于2020-03-26得票数 1
回答已采纳
1回答
我在.net Core2.0中用创建了一个演示应用程序--这是一个使用JWT令牌进行身份验证的示例,但我注意到,当我为一个用户创建一个令牌并将其替换为另一个用户创建的令牌(来自其他浏览器)时,它将验证并允许访问。为什么?另外,如果有人有一个有当前用户登录的JWT令牌的好例子,那么请分享这个链接,因为我是新手。
浏览 1提问于2018-06-20得票数 0
回答已采纳
1回答
我想知道,如果JWT应该附加到我的请求的头上,我如何使用JWT来验证我的ASP.Net核心网站的用户呢?
换句话说,在将请求发送到服务器时,如何告诉浏览器将令牌附加在标头中?假设我的网站的用户从我的网站的API中获得了这个令牌。
或者JWT仅适用于WebAPI (在这里我可以手动构建请求)?
浏览 2提问于2017-12-10得票数 0
我在实现下面的用例时遇到了问题。我需要将用户ID声明传递给后端。我已经启用了enable_outbound_auth_header,这样我从应用程序获得的令牌就会到达后端。我已经设法将用户ID添加到此令牌中。我想使用JWT授权,代码授权,客户凭证授权和APIKey。但是,用户ID仅在代码和JWT授权时添加到令牌中。我的方法是使用OIDC作用域,我在文档中看到我可以使用apim.jwt传递终端用户属性,但是我没有设法传递用户ID。有什么方法可以实现这一点吗?(没有自定义生成器) 在这种情况下,我必须实现一个自定义的令牌生成,我想知道该实现哪一个。我已经看到有很多可能性。我应该实现一个令牌生成器
浏览 21提问于2021-10-10得票数 0
回答已采纳
我在一个api服务器上工作,可以从移动应用程序中恢复请求。我在ASP.Net MVC Web API 2中使用JWT。在这个Admin中,移动应用程序用户可以访问各个部门。我在登录时在Claims中设置了这些DeptIds。对于来自应用程序的每个授权请求,在自定义操作过滤器属性中,我读取声明以将请求URL中的deptId与声明进行匹配。这一切都运行得很好。
现在我的问题是,当管理员从应用程序用户撤销任何特定部门的访问时,我应该如何使该用户的access_token过期,以便在登录请求调用时,我可以设置新的Claims。否则,管理员将从服务器中删除访问权限,但deptId仍存在于用户的Claim
浏览 1提问于2016-10-25得票数 5
2回答
我使用identity server 4进行身份验证和授权,用户权限保存在JWT中,然后在API上使用,以检查用户是否具有所需的权限。
但问题是JWT太大了,我想从它中删除权限,并对API-s进行自定义授权,这样它就可以从identity server获取权限,而不是从JWT获取权限。
API将只从userId获得JWT,然后基于此从identity server获取更多信息。有可能做这样的事吗?
浏览 0提问于2021-02-12得票数 1
回答已采纳
这一切对我来说都是新的,我仍然在努力理解它。我已经设置了一个IDP (Identity Server4),并且我能够配置一个客户机来验证它(Angular 6应用程序),并进一步验证到一个应用程序接口(Asp.Net Core2.0)。这一切似乎都很好用。
以下是IDP中的客户端定义:
new Client
{
ClientId = "ZooClient",
ClientName = "Zoo Client",
AllowedGrantType
浏览 0提问于2018-06-27得票数 0
我正在用身份服务器设置一个客户端凭据流,以便从客户端获取访问令牌。我可以用下面的代码获得访问令牌,
标识服务器配置:
公共空配置(IAppBuilder app) { app.Map("/identity",idsrvApp => { var corsPolicyService =新DefaultCorsPolicyService() { AllowAll = true });var idServerServiceFactory =新IdentityServerServiceFactory() .UseInMemoryClients(Clients.Get()) .U
浏览 1提问于2020-05-05得票数 2
3回答
我引用了另一篇关于如何使用JWT刷新令牌的文章。
我有一个非常常见的架构的应用程序,我的客户端(web和移动)与REST对话,然后与服务层和数据层进行对话。
我理解JWT令牌身份验证,但我对如何使用刷新令牌感到有点困惑。
我希望我的JWT身份验证具有以下属性:
JWT令牌的到期时间为2小时。
客户端每小时刷新一次令牌。
如果用户令牌未刷新(用户处于非活动状态,应用程序未打开)并过期,则他们需要在任何时候重新登录。
我看到很多人声称使用刷新令牌的概念使这成为一种更好的体验,但是,我不认为这有什么好处。这似乎增加了管理它的复杂性。
我的问题如下:
浏览 9提问于2015-08-17得票数 91
我真的对JWT验证的细节感到困惑。我知道这必须在服务器上完成,但是JWT也是在服务器上生成/签名的。
因此,这意味着(对粗体部分感到困惑):
用户请求登录(用户/密码被发送到服务器)
服务器检查用户是否存在和正确的密码,返回签名的JWT。
客户端接收JWT,将其发送回服务器以验证?。
服务器验证JWT,然后将OK响应发回?
如果服务器是生成和签名JWT的服务器,那么为什么需要验证呢?这对我来说唯一有意义的方法是,如果你在前面核实,我知道这是一个很大的不-不。
我显然不清楚这件事。有人能帮我填补空白吗?
浏览 2提问于2020-06-17得票数 1
回答已采纳
1回答
我知道这个问题有点宽泛,但让我缩小范围。我用laravel构建了一个小型的社交网络,我很期待用丁戈来构建api,我的问题是我想知道开发人员使用我的api (开发者身份验证),这让我很困惑,因为使用api的开发人员必须对我的站点的用户进行身份验证,才能发布或获取有关他们的信息……我想知道这个身份验证应该如何工作。
假设一个密码为'dev123‘的开发人员希望获得特定用户的帖子,该帖子的网址是mydomain.com/api/ user / 445 / post /4,而用户445有电子邮件user@gmail.com和密码’user 123‘。如何管理使用jwt处理开发人员身份验证和用户
浏览 2提问于2016-09-08得票数 1
我已经构建了一个REST,用户在其中登录,在某些情况下具有额外的权限(或者仅限于站点的某些区域;甚至是管理权限)。
我所建的东西:
JWT授权(添加到来自ES6客户端的每个请求中)
后端Python每次都检查JWT的签名、无效错误和过期。所有的检查都发生在每次请求之前..。在标题中(“授权承担者”)到后端。
Redis缓存,时间设置值,用于存储会话,以减少对每个请求的常量签名检查(覆盖上述位)。
Cookie在默认情况下仅限于域,是初始身份验证的主要传递。Cookie带来了用Python生成的JWT。
用于传输的HTTPS
我所有的请求都是application/json,除了两个表单,还有一
浏览 0提问于2019-03-21得票数 1
回答已采纳
我已经使用Firebase Auth来管理我的应用程序上的用户登录,并且自定义声明他们的角色和他们所属的每个组织的权限。
问题是,当用户属于多个组织时,自定义声明超过了Firebase身份验证设置的1000个字符长度限制。
对于客户端,我可以使用ID令牌进行API调用,并使用他/她的声明进行响应。但是对于我的网关来说,这意味着我现在需要在每个用户请求时查询我的数据库。它完全违背了JWT的观点。
如何以安全的方式嵌入自定义声明?
桌面客户端: ReactJS + Firebase
:在NodeJS上的表示
后端:修复用户元数据
浏览 1提问于2018-07-08得票数 1
回答已采纳
1回答
我在一家支持许多应用程序的公司工作,但为了方便用户使用OAuth OIDC单点登录(IdentityServer4),他们可以一次登录并访问我们的许多应用程序。使用返回的JWT/Access令牌配置对此OAuth的授权没有问题。
但是,由于我们的支持量太大,我们被告知要在应用程序级别处理角色和用户权限。这里是我寻求反馈的地方。我目前正在.Net Core 6中开发一个新的API (新手到构建API),我想知道连接基本上是第三方OAuth的最佳实践,但也使用了特定于应用程序的角色和权限。
Identity Server返回一个JWT/Access令牌,该令牌以承载的形式传递给API,但我需要在.
浏览 6提问于2022-06-28得票数 0
1回答
我读过关于JWT的文章,我想我理解它是如何工作的,但是当谈到芭蕾舞者的例子时,我什么也不懂:
如何设置与JWT一起使用的算法和过期时间?
如何使用自定义私钥?
如何从这个示例中获得令牌,例如""?
可能是如何使用CURL获得令牌(用于测试目的)?
另外,我想知道如何使用JWT,而不需要有一个有用户和密码的数据库。
我对保安和芭蕾舞演员也很陌生。有人能帮忙吗?
浏览 3提问于2020-04-27得票数 4
回答已采纳
2回答
JSON网络令牌-如何识别用户?
、、、、
基本上,我使用的是JWT身份验证,在成功登录之后,我将返回JWT令牌、Expiration时间和用户GUID (应该吗?)
让我们举个例子:
我有一个端点,它返回需要经过身份验证的用户特定数据。
那我该怎么做呢?
就这么说吧
user1生成了他的jwt:"a.b.c“
user2生成了他的jwt:"c.b.a“
如何确保user1不会使用他的JWT访问用户的2数据?
我考虑过(正如我前面提到的)发送带有JWT令牌的用户GUID,并使用它作为识别该用户的一种方式,但是如果有人有其他GUID,那么他将能够操纵他的数据,这是不好的。
提前谢谢。
浏览 0提问于2018-07-19得票数 3
回答已采纳
1回答
我对JWT非常陌生,最后继承了一个利用JWT的代码库。现在,我面临着一些非常根本的问题,我找不到任何答案。这个问题不是基于代码的,所以请容忍我。
让我们说,我的JWT令牌有效期为4小时。以下是我的要求/约束
如果用户工作时间为3小时59分钟。他们的会议应该延长2个小时,他们不应该被要求重新输入证书。
客户端java脚本不能以任何方式缓存用户凭据。
用一个新的JWT标记刷新JWT令牌是可以的。但是,您不能在服务器上提出的每个请求上都这样做。因此,客户端必须是智能的,以便在合适的时候刷新JWT令牌。您不能尝试在您向应用程序提出的每一个请求上发出一个新令牌,因为我们最终会在会话过程中生成
浏览 2提问于2017-02-19得票数 14
1回答
我是新使用JWT和烧瓶-jwt的,所以我在docs中运行。为了更好地理解JWT,我阅读了。
但现在我想知道我应该如何处理多个令牌?我的意思是,用户将其凭据发布到"myserver/auth“,然后将令牌返回给客户端。当客户端发送新请求时,他应该发送令牌。
我的问题是,我如何知道哪些“令牌”属于哪个用户,哪些“令牌”存储在哪里?
浏览 3提问于2015-10-11得票数 5
回答已采纳
假设我为像WhatsApp这样的应用程序构建了REST API,并且我有一个像POST chats/groups/{group-id}/messages这样的端点,它从我的requestBody添加了一条新的聊天消息(这只是一个示例)。 在我的API允许这个请求之前,它必须确保该请求来自组成员。因此,我想确保只有群组成员才能发布新消息。 因为我不想查询数据库中的组成员身份,所以每次向组中发送消息时,我都会考虑将自定义声明添加到JWT中。可能看起来像这样 {
...
"groupMemberships": ["Some fancy UUID", "T
浏览 12提问于2021-07-30得票数 0
当我从Azure为针对正确资源受众(目标应用程序)的应用程序用户(使用OAuth和client_secret)请求一个Azure令牌时,我不知道如何让Azure在Azure中填充客户端的DisplayName属性声明(主要针对应用程序客户端,但用户也应该工作)。
POST /<tenant_id>/oauth2/token HTTP/1.1
Host: login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials&client_
浏览 3提问于2021-04-29得票数 0
回答已采纳
1回答
代表客户发布此问题:
我们正试图将Kubernetes OIDC认证与Azure AD集成在一起。根据文档,为了使用用户组,我们需要将以下选项传递给Kubernetes API服务:--oidc-groups-claim user_roles Api服务使用user_roles查找用户在Azure返回的JWT中的组名。
但是,当我们解码Azure返回的JWT时,我们无法在返回的JWT中找到任何名为user_roles的字段。解码后的JWT看起来如下(编辑过):
{
"aud": "spn:XXX",
"iss": "htt
浏览 1提问于2018-03-21得票数 2
回答已采纳
这个问题会有点复杂。假设我有这样的架构:
现在让我们假设我的前端是一个react应用程序,后端是Java服务器或类似Python之类的不那么复杂的东西。
我想拥有Auth,成为我常用的身份验证GUI和后端,因为我将来可能会有多个应用程序(不仅仅是AP1),而且可能还有其他AP2,AP3.AP10等,这将是一个噩梦,我必须修改for的每一个,每次我想要改变它。还有另一个原因是,整个体系结构将使用自己的WiFi在本地主机上部署一次,但也会部署在多个硬件实例(WiFi + computer)上,因此每个硬件上的每个DB对于不同的用户都会有不同的凭据),但是会有一些公共的web接口客户端(也
浏览 1提问于2022-09-01得票数 0
1回答
我是JWT新手,我想知道当用户签出应用程序时,是否有可能使服务器端的JWT失效/无效(我还想知道这样做是否有意义!)想法是:
用户在其应用程序中单击“退出”链接。
App打电话给POST https://api.myapp.example.com/auth/invalidate
JWT (它是HTTP请求报头中的授权/承载令牌)以某种方式失效
现在,没有人可以再使用那个JWT了。
我不确定这是否是一种非传统的签出逻辑的方法,或者让JWT保持有效是否可以接受,即使在用户签名之后也是如此(我想我可以将JWT的有效期缩短到60分钟或更多)。
所以再次问一次:想知道是否有可能使
浏览 2提问于2018-01-08得票数 3
回答已采纳
我一直在使用令牌进行身份验证。然而,我无法理解令牌(JWT)与cookie是如何不同的。两者都将存储用户信息(在令牌中作为声明),具有持久性定义,并将与每个客户端请求一起发送到服务器。
除了上面提到的几个问题-
在中间攻击中,JWT令牌不容易被人为攻击吗?如果有人偷了一个令牌(在一个未加密的通道上),他们就不能假装成原始用户吗?(除非我们在索赔中添加了用户的IP等)
我读到过一些抱怨,认为cookie不适合新时代的移动应用程序,而令牌就是答案。为什么?
为什么令牌被认为比cookie更安全?是什么让他们更容易受到攻击?
令牌只需要由服务器发出,还是可以从另一个OAuth提供程序
浏览 4提问于2015-07-29得票数 3
回答已采纳
我有react应用程序,可以通过Azure AD登录用户。在那之后,我将react应用请求创建到我的.net核心mvc应用中,标题为Authorize。但是当我在我的控制器中添加Authorize attr时,我得到了错误: 承载无效“invalid_token”,error_description=“签名无效” 所有我需要的是,我的后端应用程序只检查范围或角色从JWT令牌,并允许获得一些数据。我知道JWT是正确的,并反应应用程序登录用户没有任何问题。 与此类似的问题:https://forum.ionicframework.com/t/validating-token-signatures
浏览 15提问于2020-12-08得票数 0
回答已采纳
2回答
我们有一个现有的REST API,目前正在使用JWT。
客户端的出现要求用户一次只能使用一台设备。例如,如果用户从iOS设备登录,然后登录到安卓设备,那么iOS设备应该被“强制”注销。
由于我们使用的是JWT,所以除了用户单击注销时的令牌黑名单之外,我们不会跟踪令牌。
我研究了如何“强制”注销用户,似乎我们需要跟踪用户使用的最后一个令牌,然后在检测到新的登录时使其失效。
有没有更干净的/替代的方法来实现上面的目标?
浏览 6提问于2020-01-09得票数 0
我们正在开发使用django rest框架的react原生应用程序,因为backend.We希望使用firebase身份验证进行社交登录。但在这种情况下,我如何在django rest框架中验证令牌?
对于正常的电子邮件登录,我们使用jwt身份验证。
现在我不明白如何对通过我们的应用程序注册的用户使用JWT身份验证,对使用社交登录的用户使用firebase身份验证,比如django rest框架中的google,FB和apple?
浏览 1提问于2021-02-05得票数 0
1回答
我正在Google上开发微服务,在他们的授权请求头中使用登录用户的JWT。在某种情况下,我需要从JWT中生成一个访问令牌,比如创建一个具有用户凭据的Storage。如何从JWT令牌生成访问令牌?
浏览 0提问于2019-07-22得票数 0
回答已采纳
1回答
我们知道如果修改了JWT内容,服务器就会使用签名找到它。但是,如果JWT被盗用并被黑客使用而没有修改呢?服务器如何验证JWT来自正确的客户端?
我知道用户id在JWT中,但我仍然不确定服务器如何安全地确保JWT来自具有与JWT中相同的用户id的客户机。
浏览 2提问于2018-10-17得票数 0
回答已采纳
我是使用JWT和flask-jwt的新手。我在我的项目中实现了flast-jwt。即使在我更改了用户密码之后,从flask-jwt收到的访问令牌也没有过期。那么如何防止旧的flask-jwt令牌的使用呢?
浏览 1提问于2015-11-30得票数 2
我用的是Azure广告B2C。
我创建了一个注册v2用户流,启用了多因素身份验证。当我运行用户流和通过短信到我指定的手机号码的注册过程,我返回到我配置的回复网址- jwt.ms。
id令牌具有返回声明,包括我的电子邮件地址以及配置返回的其他属性,但与MFA使用的移动电话号码无关。似乎没有一种方法可以将用户流配置为将其包含在返回声明中。有没有人知道这是否可能,如果有,该如何做?
干杯。
浏览 0提问于2019-01-31得票数 0
回答已采纳
1回答
关于使用JWT 2.0、OWIN和JWT (JSON Web Token)令牌来验证和授权对ASP.NET Web API v2的访问,我已经经历了几个。我喜欢JWT令牌的原因之一是,用户所属的角色就包含在令牌本身中。根据分配给具有令牌的用户的角色,我可以允许/拒绝对API方法的访问。
public class TestsController : ApiController
{
[Authorize(Roles = "Admin")]
[HttpGet]
[Route("getdatetime")]
public IHttpAct
浏览 0提问于2016-08-06得票数 0
关于OAuth、OIDC和Keycloak有很多信息,但是每个教程似乎都要掩盖的主要问题是离线验证。我发现的唯一信息是在关于RPT内省的Keycloak文档中:
号就像Keycloak服务器发出的常规访问令牌一样,RPTs也使用JSON (JWT)规范作为默认格式。如果您想在不调用远程内省端点的情况下验证这些令牌,可以在本地解码RPT并查询其有效性。一旦解码了令牌,还可以使用令牌中的权限强制执行授权决策。
如果我想用授权令牌来验证用户的请求,我会向Keycloak内省(或者userinfo?)提出一个请求。API接口。我不完全确定,但我猜想Keycloak随后会用Keycloak用户数据库验
浏览 3提问于2022-08-31得票数 0
关于客户端的权限和角色的信息是否应该包含在JWT中?
在JWT令牌中拥有这样的信息将非常有用,因为每次出现有效令牌时,提取有关用户权限的信息都会更容易,并且不需要调用相同的数据库。但是,包括这些信息,而不是在数据库中重复检查这些信息是否会是一个安全问题呢?
或,
像上面提到的信息不应该成为JWT的一部分,而应该只使用数据库来检查用户的访问角色和权限?
浏览 0提问于2018-06-25得票数 12
回答已采纳
我正在从事ASP.Net 5、web项目,并使用基于Microsoft和jwt令牌的安全管理。我已经扩展了用户声明表,并在这个表中添加了一个新的isSelected行。我需要知道,我如何才能从表中得到拥有isSelected == true的声明,是否可以将_signinManager服务用于此任务?在正常情况下我可以这样做:
var claims = await _signinManager.ClaimsFactory.CreateAsync(user)
并获得ClaimPrincipals,但这将返回所有声明,无论isSelected是true还是false。
谢谢!
浏览 4提问于2021-09-23得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
