1回答
JWT及其实现
、、
我正在考虑确保API的安全,并被推荐使用基于JWT的方法,尽管在在线阅读并遵循了几个教程后,我比以前更困惑了。所以这里是我收集到的: JWT是一个标准,有几个implementations...so,我必须为我的API选择一个实现是对的吗?如果是这样的话,有没有我可以使用的开箱即用的实现,这是业界推荐的,以避免重复发明轮子?作为一名.net开发人员,我更可能使用Asp.Net Identity,它可以发布和验证JWT,我相信(如果我错了,请纠正我)。这是最好的方法吗?
浏览 19提问于2017-03-05得票数 0
我正在为API实现授权和身份验证流程。我想到了两条腿的OAuth (因为API只供我们使用,而不是第三方应用程序)。但是我发现了一些关于令牌及其过期时间的问题。这个端点应该以access_token的形式返回JWT。JWT应该在一段时间内到期(例如1天)。我读到,我需要实现一个刷新端点,在这个端点中,应用程序可以刷新JWT,以便不每天向用户询问用户名和密码。
那么,我如何生成那个refresh_token呢?<
浏览 2提问于2015-03-19得票数 1
我是spring安全性的新手,我正在经历spring引导、jwt和流程,但我不知道如何通过jwt使用注销特性。例如,当用户在之后使用该令牌单击注销时,我们无法访问安全的Rest端点。现在,我想要的是使用JWT(Spring )实现注销功能,该功能用于实时项目及其代码。
浏览 1提问于2019-07-11得票数 0
回答已采纳
1回答
我目前正在尝试使用以下文档实现Oauth2.0来保护API https://docs.microsoft.com/en-us/azure/api-management/api-management-howto-protect-backend-with-aad并且当前使用由azure apim提供的演示会议API来测试实现。并且当前在开发人员门户中测试期间收到的错误如下: "message":"JWT验证失败:声明值不匹配:aud=xxxxxxxx-xx
浏览 26提问于2019-08-29得票数 2
回答已采纳
用于OpenID 2或OIDC的各种python库似乎都集中在用Python实现的完整web客户端上,这些客户端参与了完整的OAUTH2登录舞蹈。在Python和Flask中实现的API微服务如何验证将JWT作为Authorization标头中的标记提供的传入请求,然后从JWT中提取声明信息?
浏览 4提问于2020-01-28得票数 1
回答已采纳
1回答
我试图了解JWT身份验证是如何无状态的。在有状态身份验证中,将有一个会话id。这里有一个被签名的JWT令牌。因此,身份验证服务器发出JWT令牌,但我可以说,在后续请求中对JWT令牌的验证是由端点服务器(应用服务器)而不是身份验证服务器完成的。我相信这是可能的,因为JWT是用到期日期(以及其他一些信息)签名的,并且所有端点服务器都可以使用身份验证服务器的公共证书。
因此,身份验证服务器将只负责发出令牌,而不负责验证。JWT是这样变成无状态的吗?否则,我看不出它与有状态身份
浏览 0提问于2019-04-27得票数 14
回答已采纳
2回答
为了在python中创建一个JWT,我编写了以下代码。并将结果字符串放入JWT调试器中,看起来索赔集工作得很好,但对于头文件却不能这么说。
如果这是正确的做法,请告知我的错误是什么。
浏览 4提问于2020-11-11得票数 0
据我理解,这样做的推荐方法是使用JWT令牌?我有一个STS (IdentityServer),它通过OAuth 2.0向我的移动客户端(Sencha应用程序)发送JWT令牌,这个应用程序需要调用一个基于webHttpBinding的WCF。现在我想使用令牌来保护这个安全,而且我知道微软已经发布了一个JWT安全令牌处理程序NuGet包。
浏览 2提问于2014-06-22得票数 0
回答已采纳
我无法在我的Jhipster (spring boot + Spring security + angularJS)中设置会话超时... * Configuration of web application with Servlet 3.0 APIs.@Configuration{@Inject
private ServerP
浏览 26提问于2016-07-28得票数 0
我使用的是NuGet包System.IdentityModel.Tokens.Jwt版本4.0.4.403061554。
我有一个验证JWT的实现,它对algo HS256很好。但是,如果我将JWT更改为使用algo HS512生成,那么在验证期间就会收到一个错误。如何更改代码以允许HS512 (以及任何其他类型的JWT支持的algos)?
浏览 2提问于2020-09-04得票数 4
回答已采纳
我正在授权服务器上创建访问令牌,并尝试在资源服务器上使用RemoteTokenServices在oauth2中使用它,在授权服务器内部点击'/oauth/check_ token‘,其中只检查令牌是否存在及其过期是否也有任何方法实现基于角色/作用域的授权?
浏览 3提问于2016-04-23得票数 0
ngx_http_auth_jwt_module ()只对令牌进行验证,以确保它由预期的当事方和有效期进行签名。
浏览 1提问于2021-01-14得票数 2
我的组织利用Azure B2C在我们的API上使用Oauth实现了授权。我们注册了不同的应用程序,并赋予它们应用程序角色,我们确保它们在JWT上获得授权,以及其他用于验证的声明。他们将JWT的作用域限定为后端API来调用我们。我们验证它并更新用户。应该使用我们自己的图形API凭据来执行更新,还是应该执行某种形式的令牌交换以获得与其凭据相关联的图形令牌?
浏览 6提问于2022-08-30得票数 1
回答已采纳
我尝试在nest中使用jwt,一切正常,但是验证函数在jwt.strategy.ts中不起作用@Injectable() {defaultStrategy:'jwt
浏览 3提问于2021-09-20得票数 1
回答已采纳
1回答
我希望使用NodeJS、Mongo和JWT构建一个身份验证/授权服务。该服务将是一种微服务,它不仅在允许请求之前处理来自我的API网关的请求,还可以处理可能希望检查auth和角色的其他服务。我假设所有其他服务都将使用这个Auth服务来验证JWT以及角色等等。有人能告诉我一个资源,它可以帮助我学习如何使用NodeJS来完成这个任务吗?
浏览 1提问于2017-10-30得票数 11
回答已采纳
我正在尝试实现一个很好的基于JWT的api,所以我已经阅读了大量关于JWTs及其工作方式的文档,但是我不知道一些事情:
1.User
浏览 1提问于2016-02-19得票数 0
我已经创建了一个Github应用程序,我正在尝试将该应用程序作为一个OIDC应用程序添加到AWS认知系统中。需要下列字段:授权端点 => (?)Userinfo端点 => (?)我哪儿都找不到Jwks uri。任何帮助都将不胜感激。
浏览 3提问于2020-03-25得票数 2
回答已采纳
因此,我不能简单地提供IdentityServer的著名的JWKS端点以及其他东西,从而利用许多中间件帮助程序来自动验证JWT。{
JwtSecurityToken jwt</em
浏览 12提问于2016-11-16得票数 13
回答已采纳
4回答
我的API网关(Zuul)正在验证和验证JWT token。在微服务架构中设置安全性的最佳设计是什么?
API网关级的身份验证和微服务级的授权?在API网关级验证JWT之后,我是否需要在微服务中使用spring安全性,或者只传递角色(将它们附加到请求中),例如,创建我
浏览 3提问于2020-01-17得票数 7
我在我的Blazor服务器应用程序中使用了SignalR。我在services.AddSignalR()文件中添加了startup.cs。那我就拿不起令牌了。因为http上下文是null。然后我从services.AddSignalR()文件中删除了startup.cs。这是正常的工作。然后我可以从http客户端获取令牌。如何解决这个问题?Startup.cs文件: .AddAuthentication(options => options.DefaultScheme = "Cookies";
浏览 3提问于2020-02-27得票数 3
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
