2回答
大家好,我最近正在建立一个网络应用程序,这基本上是一个购物网站。安全性是我最关心的问题之一。我将使用JWTs (访问令牌和刷新令牌)。我将以这种方式实现它:服务器将向登录的用户返回访问令牌和刷新令牌。对于前端,我使用React,所以我将把访问令牌(短期的)保存在内存中(比如React上下文)。我正在考虑将<em
浏览 21提问于2021-03-18得票数 0
2回答
如何防止刷新被盗的访问令牌
、、、、
场景是:您有一个在较长时间内有效的刷新令牌和一个在较短时间内有效的访问令牌。
假设黑客窃取了30分钟有效的访问令牌<
浏览 4提问于2018-05-11得票数 5
1回答
我正在使用来允许用户注册我的网站。我遇到的问题是,我的注册过程相当漫长(可能需要超过1个小时),而且在注册结束之前,我没有向后端发送任何信息。然而,我的google token会在1小时后过期。我希望避免客户端必须向google发送多个请求以进行身份验证。
有没有办法在后台把这个令牌换成一个长寿的令牌?
浏览 4提问于2019-10-07得票数 0
1回答
刷新令牌旋转实现问题
、、、、
最近,我一直在阅读关于RTR (刷新令牌旋转)。在浏览了许多博客、文档和各种StackOverflow答案之后,我没有找到合适的解决方案来解决几个问题。刷新令牌意味着是长期存在的令牌,但是在RTR场景中,每次需要一个access_token时,都会授予一个新的刷新令牌,并撤销旧的刷新令牌,与非RTR令牌相比,R
浏览 0提问于2022-09-20得票数 0
回答已采纳
从Cognito返回的刷新令牌不是JWT令牌,因此无法解码。有没有办法让刷新令牌过期,或者需要在应用程序级别进行维护。
浏览 18提问于2021-07-09得票数 0
回答已采纳
1回答
我正在尝试设置一个cron作业,每天从我的gmail收件箱中读取某个电子邮件的内容。我查阅了gmail api文档,注意到对我访问电子邮件数据的请求进行身份验证的唯一方法是通过OAuth 2.0,这需要用户授权。有没有办法授权我的应用程序从特定的电子邮件id访问电子邮件,而不需要用户手动采取任何操作。
我找到了这个:。我想知道是
浏览 15提问于2017-01-13得票数 1
1回答
如何申请Google授权令牌?
、、、、
我试着在谷歌的页面上使用这个( xxx是我从 - Web Client client OAuthID得到的密钥): response_type=token&我不知道该为我</em
浏览 11提问于2016-09-28得票数 0
7回答
我使用JWT来验证我的应用程序的用户。当用户登录时,会给他们一个访问令牌和一个刷新令牌。为了保持刷新令牌的安全性,我不把它存储在客户端,而是将它保存在后端,并使用他们的帐户,这样就不容易访问了。不过,我对刷新令牌的安全性感到困惑,下面是我在阅读有关如何使用刷新令牌</
浏览 3提问于2019-04-03得票数 19
回答已采纳
我正试着从我的FB页面上拉出馈送,并将它们显示在我的网站上。
Facebook有一个长期有效的访问令牌,它会在60天内过期,所以我需要找到一种方法来自动刷新令牌。我一直在StackOverflow上做研究,但还没有找到一个成功的解决方案来让我的应用程序在页面访问令牌到期后继续工作。引用这篇文章:,答案是“扩展页面令牌</
浏览 0提问于2018-09-03得票数 0
1回答
在许多不同的产品中,CSRF令牌存储在会话中。然后等待会话过期(并收集垃圾),然后填写凭据并提交它。现在,即使凭证是正确的,您也会看到丑陋的"CSRF令牌无效“(或类似的内容)形式的验证错误消息。P
浏览 0提问于2015-05-10得票数 4
回答已采纳
我正在尝试理解OpenID/OAuth 2.0上下文中的令牌滥用场景。是否可以限制客户端应用程序使用访问令牌和刷新令牌?场景:用户只想授权客户端应用程序访
浏览 0提问于2015-05-06得票数 1
1回答
我的后端期望的是cognito会话令牌,它是用户使用cognito用户池登录的结果。
但是,当用户使用facebook进行身份验证时,不会返回任何会话令牌。有没有办法让社交身份验证生成会话令牌?我说的是id令牌、刷新令牌和访问令牌的组合。
浏览 4提问于2017-12-10得票数 0
回答已采纳
1回答
我在我的网络应用程序中使用基于令牌的安全性。服务器端使用c#编写,我使用openiddict登录和发出令牌,found 。我正在快速地使用内隐流。默认情况下,我的令牌的寿命为1小时,之后您必须再次登录。我已经锁定了我的API,只接受承载令牌,而不是cookie。我想实现刷新<
浏览 3提问于2016-03-11得票数 1
1回答
我正在针对Bitbucket API编写PowerShell脚本,以帮助管理用户/组/回购访问等等。我已经成功地获得了一个访问令牌,并使用以下内容刷新令牌:
$base64AuthInfo = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes我想,当我提出一个由于令牌过期而失败的请求时,我将能够使用刷新令牌来获得一
浏览 4提问于2022-08-02得票数 0
我正在制作一个应用程序,它代表经过身份验证的用户创建事件。我将访问令牌和刷新令牌都存储在数据库中。如何使用这些刷新令牌来获取新的访问令牌并为用户创建事件,而无需再次进行身份验证?在文档https://docs.microsoft.com/en-us/graph/auth-v2-user中,refresh_token需要获取新的访问令牌</em
浏览 19提问于2019-05-04得票数 0
回答已采纳
3回答
请不要标记为重复,我经历了很多这样的问题,但我仍然没有得到刷新令牌的要点。他们说的一些原因是:
但是,我感到困惑的是,攻击者是否能够获得访问令牌,为什么他们无法获得刷新令牌(他们都需要JS访问令牌以发送请求,因此需要存储在本地存储中)。如果攻击者获得刷新令牌,我们可以在服务器.中阻止它
但
浏览 9提问于2022-02-20得票数 1
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
