1回答
JWT的优缺点
、、、、
在过去的几天里,我读到了关于JWT的文章,我完全理解了它背后的概念和授权的力量。我的问题是,当CRUD端点就位时,JWT授权机制会发生什么?假设我必须从向我发送请求的特定用户中删除某个“任务”,其中包含JWT令牌。我要做的事情是去数据库,检查用户是否属于该任务,这样做后,从数据库中删除该任务。这导致了2次数据库调用。我的问题是,当涉及到包含CRUD操作的端点时,JWT</e
浏览 23提问于2020-08-26得票数 1
1回答
使用API网关进行授权的优缺点是什么?如果API的头部中有JWT令牌和现有API的权限,我可以在API网关中匹配它。在授权服务中匹配这一点也将包括开销。
浏览 25提问于2019-11-08得票数 1
回答已采纳
3回答
我试着自己创建一个访问令牌,但是每次我都需要做需要花费大量时间的数据库操作。有什么简单的方法来生成访问令牌吗?
浏览 3提问于2018-02-02得票数 2
回答已采纳
1回答
我开始构建一个新的应用程序,想知道实现身份验证安全的最好方法是什么。Laravel的默认身份验证就足够了吗?
浏览 2提问于2018-09-29得票数 0
我想到了两条腿的OAuth (因为API只供我们使用,而不是第三方应用程序)。但是我发现了一些关于令牌及其过期时间的问题。我将请求一个access_token到/ouath/token,其中包含用户的用户名和密码。这个端点应该以access_token的形式返回JWT。接下来,对API的请求将使用该JWT对用户进行身份验证。
JWT应该在一段时间内到期(例如1天)。我读到,我需要实现一个刷新端点,在这个端点中,应用程序可以刷新<em
浏览 2提问于2015-03-19得票数 1
3回答
我刚刚开始阅读关于JWT的文章,我相信我已经理解了JWT令牌是什么。我对会话也相当熟悉。我相信我了解每种方法的优缺点。然而,有几个部分让我感到困惑。在请求受保护的资源时,您需要针对每个请求发送jwt,而不是将会话存储在服务器上。但是:
1)您如何存储您的JWT令牌,以及存储在哪里。根据我所读到的内容,我了解到您向服务器发送身份验证请求,如果您成功通过身份验证,服务器会向您发送一个JWT令牌。那么你会
浏览 2提问于2017-11-07得票数 9
1回答
所以现在我被卡住了,我已经在春季启动时准备好了我的登录API,它与邮递员一起工作,我已经在下一个js中准备好了我的登录页面。现在我所需要的是,当我点击登录时,它应该验证用户的详细信息,并将我移到另一个页面,否则会显示“无效用户名/密码”之类的东西。
浏览 5提问于2022-04-01得票数 -2
1回答
阅读有关JWT的文章,我发现通常的做法是在短暂的令牌中包含一个刷新令牌。因此,通常情况下,您似乎有一个持续时间较短的短令牌(例如15分钟)和一个刷新令牌(在此令牌过期时更新该令牌)。据我理解,如果短暂的令牌已经过期,应用程序必须检查以确保刷新令牌没有被撤销(检查数据库)。如果没有,那么发出一个新的短期令牌。我正在努力理解为什么不只是拥有一个短暂的令牌。让我们假设jwt令牌包含使用该令牌的用户的用户名
浏览 0提问于2016-03-08得票数 11
1回答
我和我的同事希望构建一个聊天应用程序(ReactJS <-> NodeJS),我们一直在寻找这样做的最佳框架。毫无疑问,FeathersJS似乎是最稳定和功能最丰富的socket.io包装器。但是,由于我们希望允许应用程序扩展,我们决定将此聊天功能拆分到与我们的主节点后端不同的节点进程中。
然而,聊天功能仍然需要身份验证和授权,我们希望避免对这两个服务进行重复的身份验证。因此,我们提供的解决方案是使用会话cookie查询主节点后端,以便在允许用户使用聊天服务
浏览 2提问于2016-12-10得票数 2
回答已采纳
1回答
我正在从头开始设计一个api,我有一些关于用户注册/登录的newby问题。首先,这种设计对你来说合适吗?其次,我想知道如何最好地处理从同一个代理中打开多个会话的用户。我是否应该关闭上一次会话并在图表上创建一个新的会话或类似的会话,从db获得最后一个开放会话并从中创建新的令牌?很抱歉,如果这一切对你们大多数人来说都是显而易见的,但我在网上找不到合适的答案。
新年最美好的祝愿!
浏览 4提问于2022-01-01得票数 0
回答已采纳
与cookie相比,JWT的一个优点似乎是它绕过了cookie的来源限制。
有没有人能帮我了解一下JWTs的其他优点,更重要的是,还有什么缺点?
浏览 4提问于2014-12-27得票数 14
回答已采纳
1回答
我们正在为一个组织构建客户应用程序,技术栈对门户做出反应,而对移动的反应则是本地的。在审查期间,有人建议采用基于会话id的用户会话,而不是基于JWT令牌的会话。我们还希望使用OIDC FLow进行身份验证,使用OAUTH2.0来授权API,因为JWT和Session ID都有各自的优缺点。安全小组坚持使用会话ID,原因如下
JWT是笨重的,不可撤销的 我们应该选择什么样的安全架
浏览 6提问于2021-12-09得票数 1
2回答
我正在为我的应用程序使用JWT身份验证方案。我做了一些关于如何存储、使用访问和刷新令牌的研究,我有几个问题我没有找到真正的答案。基于我所做的研究,出于安全考虑,本地存储并不是存储jwt令牌的好地方。因此,第二个最好的选择可能是用于jwt令牌的HttpOnly cookie和用于刷新令牌的本地存储。但是,我确实读过一些文章,其中jwt令牌存储在本地存储中,而刷新令牌存储为HttpOn
浏览 13提问于2022-11-15得票数 0
我在IIS后的服务器上部署了一个ASP.NET核心REST API。Angular JS Web应用和移动(Android/IOS)应用使用REST API。对于授权,我使用JWT token()。最近通过安全审计,他们发现存储在本地存储中的JWT可以被来自同一组织的其他攻击者窃取并用于冒充(例如,员工使用Manager的功能)。我想把这个人或那台机器标记到那个JWT上,这样当JWT被盗时,攻击者就不会滥用它,也不会对被盗的
浏览 29提问于2019-01-03得票数 0
回答已采纳
1回答
我在自己的React应用程序和Axios中使用JWT来处理API调用。我正在寻找一种将令牌存储在cookie中的方法,这样每次浏览器刷新时,我都不会被重定向到再次登录。这里是我的Axios设置和我的登录调用: baseURL: baseURL return new Promise((resolve, reject) =&
浏览 0提问于2019-02-12得票数 7
我使用对用户进行身份验证,如果护照是基于JWT的,为什么要向数据库发送多个请求来检查中间件(‘auth:api’)?
浏览 0提问于2018-03-25得票数 1
回答已采纳
4回答
JSON Web令牌过期
、、、、
大多数JWT (JSON Web Token)教程(例如:和)都说,一旦经过验证,您就可以使用传入的令牌来获取客户端信息,而无需从数据库进行验证。当然,如果我们为每个请求往返到DB,那么我
浏览 1提问于2017-05-31得票数 17
用例是用户有一个需要加密的元数据,因此当他们签名时--在受保护和存储的对象中,“加密”将被“检查”,以验证明文中的对象信息是否等于加密对象中的内容。问题是,在Azure密钥库中是否更适合为每个用户提供一个具有公钥和私钥能力的密钥。或者,只需使用一个密钥对存储的对象进行加密,并在访问对象时不对其进行签名/解密。对我来说,对象是加密所必需的,并且与密钥的加密方式并没有真正的关系,因此对许多方法来说都是一个通用的
浏览 3提问于2022-10-14得票数 0
1回答
当使用https://github.com/GetBlimp/django-rest-framework-jwt时,JWT请求是如何签名的?是否有一种提供私钥文件的方法,或者唱jwt请求的要求是什么?
浏览 0提问于2018-11-05得票数 0
回答已采纳
云服务器
ICP备案
对象存储
云点播
智聆口语评测
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号