3回答
登录时发送并存储在localStorage中的CSRF令牌JWT中的头CSRF令牌与CSRF令牌的比较由于JWT在30分钟内到期,因此有必要刷新它们。JWT包括一个存储随机刷新令牌的rfs声明。此刷新令牌还存储在DB中(这是一个独立于用户的表,允许进行多个会话)。如果有效:
将刷新</e
浏览 0提问于2016-08-12得票数 14
1回答
JWT刷新令牌覆盖
、、、、
我在JWT场景中遇到了一个问题。当用户通过web应用程序登录系统时,我会生成一个JWT访问令牌(JWT auth)和一个自定义刷新令牌,并将该刷新令牌保存在数据库中以供以后验证。但问题是,当同一用户通过移动应用程序登录时,它会替换数据库中的新刷新令牌,这会使存储在web本地存储中的先前刷新令牌失效。我想知道如何处理这个问题。我是否需要在DB中为用户刷新令牌
浏览 20提问于2021-07-14得票数 1
回答已采纳
我在我的Django应用程序中使用了DRF、DRF-JWT、Allauth和Res-auth以及djangorestframework-jwt-refresh-token。我有一个自定义的JWT注册序列化程序来收集一些额外的用户信息,并创建一个刷新令牌,用于刷新过期的JWT令牌。我们有工作在后端和iOS应用程序没有问题的电子邮件注册。我可以通过覆盖DefaultSocialAccountAdapter来创建针对Facebook用户的<
浏览 2提问于2018-03-13得票数 2
1回答
我的查询是关于使用JWT令牌同时支持同一用户的多设备登录。我使用NestJS作为我的后端。用户表: userid、用户名、密码(包含散列密码)、名称、refreshToken(包含散列刷新令牌)
当用户执行/api/登录调用时,在具有有效用户名和密码的情况下,访问令牌和刷新令牌将使用jwt护照库生成在/api/刷新调用期间,用户发送的刷新令牌将使用用户表中存在
浏览 19提问于2022-06-06得票数 2
回答已采纳
1回答
我使用的是一个简单的JWT自燃基。后端检查它是否是一个有效用户,并使用JWT返回一个访问令牌。现在,我想实现一个刷新令牌。我该怎么做呢?刷新令牌的内容应该是什么?当我签署一个新的访问令牌并转到受保护的页面时,当更新它时,它会再次进入登录页面。我应该做些什么来签署刷新令牌呢?请任何人帮帮我。
浏览 3提问于2022-05-07得票数 0
回答已采纳
1回答
我正在使用jwt为用户提供授权,以便在我的应用程序上执行操作。它工作得很好,因为我不必访问数据库来查看用户是否有效。我在使用jwt时遇到的问题是,当令牌过期时,用户必须重新登录。我在互联网上读到,刷新令牌可以用来解决这个问题,但没有关于它是如何工作的愚蠢的解释。它们是如何工作的?是否需要访问数据库?
浏览 1提问于2015-06-05得票数 1
我正在使用django rest框架JWT库
JWT_EXPIRATION_DELTA,以秒为单位可以通过将JWT_VERIFY_EXPIRATION设置为False如果没有过期验证,JWT将永远持续下去,这意味着攻击者可以无限期地使用泄漏的令牌。这是Python的datetime.timedelta的一个实例。和JWT_REFRESH_EXPIRATION_DELTAmit的令牌<
浏览 0提问于2018-05-09得票数 7
回答已采纳
用角前端和RESTful后端使用基于JWT令牌的身份验证( api)的最佳和最安全的方法是什么?提前谢谢。
浏览 3提问于2016-06-10得票数 0
回答已采纳
在我读过的大多数示例中,我看到有人提到,当服务器返回401时,客户机应该到达jwt刷新端点,以某种方式传入刷新令牌(即作为cookie),然后继续使用新的JWT令牌。我无法理解为什么当服务器无法验证(或接收)过期的JWT时,服务器端不能自动发生这种情况,前提是它具有刷新令牌。我有什么安全隐患吗?
这假设在每个请求中发送刷新令牌是可以的。假设HTTPS正在使用,令牌被存储并作为coo
浏览 0提问于2020-12-23得票数 0
2回答
我将Django 3.2与django.auth.contrib应用程序和djangorestframework-jwt=1.11.0结合使用。在收到对经过身份验证的资源的请求并验证用户可以访问该资源时,如何延长/重新发出新的会话令牌?(user) update_last_login(None, user)JWT_AUTH = {
# how long the
浏览 5提问于2021-10-11得票数 1
回答已采纳
我最近了解了JWT令牌,但我不明白为什么需要它们。考虑到:如果在任何时候,黑客找到了将用户的请求读取到服务器的方法,那么情况也是如此:访问和
浏览 0提问于2020-06-23得票数 8
回答已采纳
1回答
JWT应该有到期日期(让我们保持这种状态)。但是,有什么好方法可以让用户在应用程序中的JWT过期后仍保持登录状态呢?希望能听到你对此的看法。
浏览 1提问于2018-04-16得票数 0
我在Lumen中使用了我的应用程序后端实现,它每次用户登录时都会提供一个JWT令牌。前端,我使用角将令牌保存在本地存储中,并将其添加到后续请求中的所有标头中。通过创建一个请求来检查令牌的到期和刷新,我正在使用 }}
$httpProvider.interceptors.push('jwtInterce
浏览 6提问于2016-08-08得票数 3
回答已采纳
2回答
使用JWT实现了Django REST和身份验证。对于JWT令牌,我们必须在它过期之前对其进行刷新。过期后,JWT将不会提供新的令牌。对于我的移动设备,我需要每10分钟(JWT_EXPIRATION_DELTA)刷新一次令牌。如果用户没有活动超过10分钟,那么我需要要求登录。有没有什么方法可以在JWT令牌过期后刷新令牌。(我们可以将刷新时间限制为
浏览 1提问于2017-03-02得票数 7
回答已采纳
2回答
我正在构建一个基于令牌的身份验证(使用带角客户端的Node.js/JWT)。
长寿命/永不过期的刷
浏览 2提问于2014-12-08得票数 6
回答已采纳
虽然我了解jwt用于身份验证的工作方式,但我正在尝试构建注册。
这是我目前的流程:
我不能把它放进有效载荷,因为它只是编码而不是加密。(为什么它没有加密,发
浏览 0提问于2018-07-15得票数 0
1回答
我一直在使用Flask和JWT在后端创建身份验证。创建和使用访问令牌非常简单,但当我试图了解如何处理刷新令牌的使用和存储时,我遇到了一些概念上的误解。访问令牌存储在内存中,刷新令牌存储在HttpOnly cookie中。当访问令牌过期时,使用刷新令牌将“静默刷新”发送到后端。首先检查它是否有效(用户ID匹配,正确签名,且未过期),然后检查数据库是否包含特定刷新令牌
浏览 5提问于2021-07-14得票数 2
回答已采纳
我使用laravel / jwt进行jwt身份验证。但是,当我进行身份验证时,只需获取访问令牌,而不是刷新令牌。{ "laravel/tinker": "^1.0", }}
我希望在到期后获得一个刷新<
浏览 0提问于2019-07-27得票数 3
1回答
我已经在ASP.NET框架中实现了刷新令牌,如下所示。它不需要在任何地方保存刷新令牌。我可以在ASP.NET核心JWT中做同样的事情吗?我想要的是不将刷新令牌保存在数据库或其他任何地方。
浏览 12提问于2019-12-30得票数 0
1回答
对于auth,我已经构建了一个jwt登录系统,但是我想知道处理刷新令牌的过程是什么。
jwt中的刷新令牌是否包含用户信息,还是在它自己的令牌中使用了不同的加密以进行额外的保护?如果jwt是无效的,需要刷新,那么如果它是它自己的标记,那么其他的微服务应该如何响应这个react应用程序呢?是否使用常见的http状态代码?我已经读过,刷新令牌应该比jwt更安全,因为它可以用于发出<e
浏览 3提问于2017-02-27得票数 3
回答已采纳
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
腾讯云开发者
