不允许使用JWT令牌保护GraphQL端点
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准,它可以安全地在不同系统之间传输信息。然而,在保护GraphQL端点时,如果不允许使用JWT令牌,我们可以考虑其他方式来确保端点的安全性。
一种常见的替代方案是使用OAuth 2.0协议来保护GraphQL端点。OAuth 2.0是一种用于授权的开放标准,它允许用户授权第三方应用程序访问其受保护的资源。通过OAuth 2.0,我们可以实现对GraphQL端点的访问控制和权限管理。
在使用OAuth 2.0保护GraphQL端点时,可以采用以下步骤:
- 注册应用程序:在腾讯云的开发者平台上注册一个应用程序,并获取客户端ID和客户端密钥。
- 配置授权服务器:在腾讯云的授权服务器上配置客户端信息,包括客户端ID、客户端密钥和重定向URL。
- 用户授权:当用户尝试访问GraphQL端点时,应用程序将重定向用户到腾讯云的授权服务器,用户需要登录并授权应用程序访问其资源。
- 获取访问令牌:一旦用户授权成功,授权服务器将颁发一个访问令牌给应用程序。
- 使用访问令牌:应用程序在每次请求GraphQL端点时,将访问令牌包含在请求头中,以便服务器验证用户的身份和权限。
通过以上步骤,我们可以实现对GraphQL端点的安全保护。腾讯云提供了一系列与OAuth 2.0相关的产品和服务,例如腾讯云API网关、腾讯云访问管理CAM等,可以帮助开发者轻松实现OAuth 2.0的功能。
请注意,以上答案仅供参考,实际应用中需要根据具体情况进行调整和配置。
相关·内容
0回答
不允许使用JWT令牌保护GraphQL端点
node.js、express、jwt、graphql、postgraphql
我正在运行一台express服务器,并且在我的端点上设置了JWT保护。我在测试我的/graphql端点时,收到了一个403 Not allowed to provide a JWT token错误。我的其他端点工作得很好,所以我不认为这是JWT签名或验证的问题。有什么想法吗?var jwt = require('express-jwt');
浏览 12提问于2016-12-29得票数 0
回答已采纳
2回答
Nest.JS使用AuthGuard作为GraphQL中间件
passport.js、graphql、nestjs
我试图使用GraphQL来保护我的passportJS端点,以便每个对这个端点的调用都使用AuthGuard来验证令牌和在request.user上设置用户,就像在控制器中使用下面的代码一样:@UseGuards(AuthGuard('jwt'))
findAll(@Req() request): Promise<Array<Thing>>
浏览 0提问于2018-08-21得票数 8
1回答
使用受保护的GraphQL端点进行用户注册
node.js、express、authentication、jwt、graphql
我正在使用GraphQL和Node (express)创建一个应用程序。JSON Web令牌身份验证来保护我的GraphQL端点/graphql。因此,我公开了一个未受保护的非GraphQL端点/token,它为数据库中已有的用户生成一个令牌。然后,可以使用该令牌来访问/graphql端点。但是,新
浏览 0提问于2018-02-02得票数 0
2回答
使用JWT的GraphQL .NET身份验证不起作用
c#、.net、graphql、jwt
我正在实现一个JWT,我试图用GraphQL来保护它。:Issuer"], IssuerSigningKey =new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Secret"])) });
和它的工作方
浏览 0提问于2020-11-24得票数 0
1回答
API中对auth的正确策略
security、oauth、jwt、graphql、openid-connect
我想设计一个GraphQL API。这个API将被一些浏览器应用程序使用,也可以直接用于那些想要创建自己的脚本/生成报表的人。因为JWT是保护GraphQL API的推荐方法,也是因为OIDC使用JWT令牌。我想到了一种简单的方法,API只接受okta发布的JWT令牌。因此,我认为也许我的API应该发布自己的JWT令牌。我可以在这里想到三种策略:
OIDC JWTs.In
浏览 3提问于2019-10-30得票数 0
回答已采纳
1回答
基于类的视图django中的JWT验证
python、django、graphql、jwt、django-graphql-jwt
我已经使用Django-graphql-jwt库在django中实现了jwt身份验证,现在我想在我的端点(/graphql)上只允许带有JWT令牌的请求的get/post。django-graphql-jwt文档中有像@login_required这样的例子,但我不想把装饰器放在每个查询和突变之上。因此,我决定限制对视图的访问。我在url.py中添加了path('graphql<
浏览 13提问于2020-05-10得票数 1
2回答
如何处理反应温泉上的更新令牌?
node.js、reactjs、graphql、jwt、hasura
当用户登录时,节点服务器使用hasura graphql端点验证凭据,并向客户端提供一个jwt令牌和刷新令牌。现在,当jwt令牌过期时,我希望使用自动作为cookie发送到节点服务器的刷新令牌来静默地刷新jwt令牌。我将如何实现这一点?我可以想到的一种方法是,在客户端对jwt进行解码,如果jwt过期,则向节点服务器上的刷新令牌<
浏览 10提问于2020-05-24得票数 1
回答已采纳
1回答
如何使用Prisma生成JWT令牌?
javascript、reactjs、graphql、prisma、prisma-graphql
我正在使用来处理GraphQL。我知道有一种方法可以用秘密密钥保护graphql服务器。例如,将密钥指定为:在prisma.yml中,然后运行prisma deploy将保护graphql服务器,所有后续查询都需要一个JWT令牌来访问它。我能够使用以下命令生成JWT令牌这给了我令牌,并且在将它传递到标头时,我能
浏览 1提问于2020-01-30得票数 1
回答已采纳
1回答
如果使用JWT,如何保护用户和角色的路由?
vue.js、vue-router
如果不允许用户或客人执行某些操作,这些中间件将阻止他们执行某些操作。, 401)); token,
process.env.JWT_SECRET如果不允许我张贴新的便条,那么应该阻止我去/newnote页面,这样我就无法看到和填写表单。JWT令牌存储在带有httpOnly标志的cookies中。所以我不能从Vue路由器访问令牌。那么
浏览 3提问于2021-08-05得票数 0
2回答
GraphQL发布JWT/Cookie
rest、reactjs、cookies、graphql
我使用React作为前端,使用REST作为后端,我的REST只发布我存储在前端上的Cookie,并在每个REST请求上使用,例如代码,现在我想将该解决方案从REST迁移到GraphQL,如果GraphQL侧的授权已经解决了问题(只有阿波罗有Cookie和JWT的机制,更不用说本地实现了),我仍然想不出如何从GraphQL侧发布Cookie/JWT。有没有可能从GraphQL给我提供曲奇呢?问题是GraphQL</em
浏览 4提问于2017-09-03得票数 2
回答已采纳
1回答
在每个API调用之前验证JWT令牌
javascript、reactjs、react-router、jwt、mern
目前,我正在从事一个具有保护路由(受JWT授权保护)的React项目。
根据用户的权限,某些页面呈现的方式不同。这些权限是在令牌负载中加密的。由于JWT令牌可以被解密和修改,所以理论上用户可以修改令牌,以便访问他们真正不应该访问的页面。由于令牌失去了有效性,后端服务器将不会处理特定用户的任何请求,因此不会造成任何损坏。我仍然不希望用户仅仅通过修改JWT令牌就能够访问受保护的页面。我对这个问题的解决方
浏览 5提问于2020-06-01得票数 0
1回答
基本授权承担者
express、axios
我使用基本的http auth和公开的REST端点来“保护”后端服务器。使用在登录过程中获得的JWT令牌保护的端点。JWT令牌在Authorization: Bearer TOKEN报头中从客户端发送。
问:是否有可能在同一时刻有两种类型的auth - http auth和JWT?
浏览 0提问于2018-04-24得票数 1
回答已采纳
1回答
如何验证微服务的请求源
java、reactjs、spring-boot、react-native、microservices
我有一个基于Spring的微服务,它向一个基于react.js的web客户端应用程序和一个使用react-native构建的移动应用程序提供数据。应用程序托管在云上。我希望允许来自这两个客户端应用程序的REST调用,并阻止任何其他请求源,以保护我的应用程序。我正在考虑使用一个应用程序ID来传递每个请求,但这并不能保护服务,因为任何拥有应用程序ID的人都可以侵入我的REST服务。有人能建议一下解决这个问题的最佳方法吗?
浏览 2提问于2019-06-21得票数 0
1回答
保护来自Inspect元素的Ajax请求中的Authorization标头
php、ajax、api、jwt
我需要一些意见,当表单提交使用ajax时,如何保护JWT令牌,这是它在谷歌铬检查元素上的样子令牌是可见的,未知用户可以发布一些数据到它的端点,有什么想法来保护JWT令牌吗?如有任何意见,谢谢!使用HTTPS解决此问题?
浏览 3提问于2018-08-29得票数 1
1回答
Spring OAuth2资源服务器过滤器
spring-boot、spring-security、oauth-2.0
我们使用@EnableResourceServer注释为所有API应用安全筛选器。我们使用的是、Spring、OAuth2和JWT令牌。我们使用客户端凭据令牌(使用客户端id和客户端机密获取)和用户令牌(使用名称/密码)。我们希望使用客户端JWT令牌保护某些端点(**/clientTokenAllowed/myapi
浏览 4提问于2017-11-01得票数 0
回答已采纳
1回答
使用一个JWT令牌和下拉向导?我已经有db auth了,但我对使用令牌感到困惑。
java、rest、authentication、jwt、dropwizard
";这是一种简单的,经过验证的方法-而且效果很好.但是,让我们假设我希望有一个用户登录,然后获得一个令牌,他们可以用于未来的请求,直到令牌过期.我会假设(如果我错了就纠正我的话),我会做一些事情,比如拥有一个资源,它将获取凭证,然后在响应中返回令牌,以便存储在客户端--这很好……但是,如果我这样做,我以后将如何根据令牌进行身份验证?
浏览 3提问于2017-09-17得票数 2
回答已采纳
1回答
如何在春季网络流量中从jwt令牌中获得索赔
spring-webflux、graphql-java、reactivesecuritycontextholder
我有一个基于春季网络流量的GraphQL应用程序。应用程序配置为resourceServer,我可以通过传递JWT令牌访问/graphql端点。}
现在,作为访问令牌声明的一部分,我获得了一个UUID,我想在graphql解析器类上访问它。但是,每次我
浏览 16提问于2022-04-13得票数 0
1回答
在Keycloak中生成JWT令牌并获取公钥,以在第三方平台上验证JWT令牌
jwt、keycloak、apigee、keycloak-services
后端服务器有一个端点,它在pinging时提供JSON响应,并受到Apigee代理的保护。目前,此端点没有安全性,我们希望为所有发出请求的客户端实现Bearer令牌身份验证。向API发出请求的所有客户端都将发送授权比勒和Apigee中的JWT令牌,用于验证JWT令牌。
如何使用Keycloak来生成这个JWT令牌?另外,需要一个的公钥-- JWT令牌的起源(签名<
浏览 0提问于2019-02-26得票数 44
回答已采纳
1回答
如何在Node中添加身份验证?
node.js、mongodb、api、express
使用以下教程创建API:使用: mongoDB + Node + Express Js创建api谢谢。
浏览 2提问于2019-12-09得票数 0
1回答
将https添加到由webpack代理的graphql express终结点
javascript、express、https、webpack、graphql
我正在构建一个与webpack,express和graphql的应用程序。Express为express-graphql端点提供服务,然后由webpack-dev-server代理该端点。我想知道如何将https添加到该端点。顺便说一句,我还用auth0
浏览 0提问于2016-01-29得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
