从刷新令牌创建非刷新访问令牌时,flask-jwt-extended current_user标识=无
。
在使用flask-jwt-extended进行身份验证和授权时,current_user是一个特殊的标识符,用于表示当前已认证的用户。它通常用于获取当前用户的信息或执行与用户相关的操作。
在刷新令牌创建非刷新访问令牌的过程中,current_user标识为无,意味着当前没有已认证的用户。这可能是因为刷新令牌已过期或无效,或者用户在刷新令牌创建非刷新访问令牌时未提供有效的认证凭据。
在这种情况下,您可以根据需要采取以下措施:
- 检查刷新令牌的有效性:确保刷新令牌未过期且与特定用户关联。您可以使用flask-jwt-extended提供的方法来验证刷新令牌的有效性。
- 要求用户重新进行身份验证:如果刷新令牌无效或过期,您可以要求用户重新提供有效的认证凭据,例如用户名和密码。通过重新进行身份验证,您可以获取新的刷新令牌和非刷新访问令牌,并将current_user标识设置为相应的用户。
- 处理未认证用户的情况:如果您的应用程序允许未认证用户执行某些操作,您可以在current_user标识为无时执行相应的逻辑。例如,您可以限制未认证用户的访问权限或提供有限的功能。
需要注意的是,以上解释和建议是基于flask-jwt-extended的常规用法和约定。具体实现可能因您的应用程序配置和需求而有所不同。建议查阅flask-jwt-extended的官方文档以获取更详细的信息和指导。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云身份认证服务(CAM):https://cloud.tencent.com/product/cam
- 腾讯云API网关(API Gateway):https://cloud.tencent.com/product/apigateway
- 腾讯云云函数(Cloud Function):https://cloud.tencent.com/product/scf
- 腾讯云容器服务(TKE):https://cloud.tencent.com/product/tke
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
- 腾讯云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
- 腾讯云移动开发(Mobile):https://cloud.tencent.com/product/mobile
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云区块链(Blockchain):https://cloud.tencent.com/product/baas
- 腾讯云元宇宙(Metaverse):https://cloud.tencent.com/product/metaverse
相关·内容
2回答
如何处理刷新令牌
authentication、access-control、jwt
我试图围绕基于JWT (JSON令牌)的身份验证来使用访问令牌保护API端点。为了获得上述资源,我要求用户拥有有效的访问令牌来保护这些端点。
然而,我正在努力理解使用刷新令牌。
我有一个/auth/登录端点,它接受POST请求:
class UserLogin(Resource):
def post(self):
data = parser.parse_args()
current_user = User.find_by_username(data['username'])
if not current_user:
浏览 0提问于2018-09-30得票数 15
回答已采纳
7回答
怎么导出腾讯云服务器镜像并下载到本地?
导出的镜像,我能在本地环境正常使用么,我想把这个镜像再安装到我本地的电脑上,请问这个操作是都能成功
浏览 14483提问于2020-08-03
1回答
移动身份验证方法、JWT和刷新令牌
architecture、api、authentication、mobile、jwt
上下文
我正在和我的开发团队一起开发一个客户端服务器架构中的移动应用程序,因为也会有一个webclient,允许一些用户(管理员)从浏览器执行特定的操作。
REST当前通过返回JWT形式的访问和刷新令牌来对用户进行身份验证。本地流(用户名/密码)和OAuth2.0流(目前只有Google )都是可用的,因为我为用户提供了这两个不同的身份验证选项。
问题
当从webclient调用API时,下面的流运行得很好,但是现在我们已经开始开发移动应用程序了:*在刷新令牌过期之后,我们如何让用户在移动应用上进行身份验证?*
所有著名的应用程序都没有提示用户进行身份验证,比如每周或最糟糕的一天,但我仍然确信
浏览 0提问于2021-07-15得票数 1
回答已采纳
1回答
在微服务架构中组织授权的最佳实践?
authentication、architecture、authorization、microservices
例如,我有3个服务:
身份验证
卖方
买家
他们每个人都有自己的数据库,模型,服务.等
身份验证服务了解用户、用户组、角色、权限和创建令牌.
我应该把买卖双方的实体放在哪里?关于认证服务,还是关于买卖双方的服务?
卖方/买方服务应如何相互作用以创建新的卖方/买方实体?
卖方/买方服务应如何检查权限?
卖方和买方实体有一些共同的字段:名称、密码、电子邮件.,但每个实体都有自己的附加字段。
买卖双方相互作用。
浏览 4提问于2016-02-13得票数 19
回答已采纳
1回答
Azure Active Directory -授权代码授权流和移动的OAuth身份验证
azure、mobile、azure-active-directory
我有一个使用Azure AD OAuth进行身份验证的Web,它是由移动客户端(android,iOS)使用的,如果用户想要在令牌和刷新令牌过期时再次输入凭据,就必须避免再次输入凭证。如何才能最好地使用授权代码授权流来处理这个问题?非常感谢。
浏览 4提问于2015-03-19得票数 1
回答已采纳
1回答
Firebase:我什么时候应该使用refreshToken?
firebase、firebase-authentication
根据,刷新令牌仅适用于需要显式刷新令牌的高级场景。
在哪种情况下我应该使用这个令牌,使用它的好处是什么?
private afAuth: AngularFireAuth
this.afAuth.auth.currentUser.getIdToken()
.then(idToken => // Gives me a different token from key name called pa);
另外,我不确定refreshToken和getIdToken()返回的令牌之间的区别。目前,我将后者用于HTTP请求。
注释: getIdToken返回一个JWT令牌,用于标识Firebase
浏览 0提问于2018-02-03得票数 8
回答已采纳
1回答
过期令牌后的部分身份验证
oauth-2.0、asp.net-web-api、owin
我对Oauth相当陌生,我想知道某个特定的流是否受到任何Oauth流的支持。我希望能够识别一个用户,并允许该用户执行不安全的操作,即使他们的令牌已经过期。只有当用户请求执行安全操作时,才会被迫重新身份验证。我目前没有看到任何支持这一点的流程。
我想过以下使用刷新令牌的解决方案,但不确定我是否违反了任何oauth模式,或者是否有更好的方法。
1)发出访问令牌的时间为X。让我们说两个小时。2)在令牌到期时,使用刷新令牌来获得新的访问令牌。新令牌将包含一个声明,该声明标识用户只有不安全的访问权限。3)如果请求安全资源,请求将被拒绝,并使用401响应代码指示令牌无效。4)为了接收新的访问令牌,应用程序
浏览 1提问于2015-06-25得票数 0
回答已采纳
1回答
GoogleWebAuthorizationBroker不会自动从刷新令牌返回新的访问令牌。
.net、google-api、google-oauth、gdata、google-api-dotnet-client
我使用GoogleWebAuthorizationBroker类表单.Net客户端库,它在文件存储中存储访问令牌和刷新令牌,如下所示:
UserCredential credential = GoogleWebAuthorizationBroker.AuthorizeAsync(
new ClientSecrets { ClientId = clientId, ClientSecret = clientSecret },
scopes, "XXXXXX", C
浏览 3提问于2017-01-01得票数 2
回答已采纳
1回答
如果有人窃取了Oath2 flow中的授权代码,会发生什么情况
oauth、oauth-2.0
请参考此视频,特别是从20:00到25:00。
他描述的工作流程是:客户端应用程序通过浏览器连接到授权端点。用户输入凭证,身份验证服务器对用户进行身份验证,并使用重定向发送授权码。客户端应用拦截浏览器活动并提取授权码。向令牌端点发出新的请求以及该认证码、客户端id和很少的其他信息。作为回报,app获得访问和刷新令牌。
是什么阻止某人在第一步(比如通过浏览器历史记录)窃取身份验证令牌,然后联系令牌端点以获取访问和刷新令牌?
浏览 1提问于2019-01-30得票数 0
2回答
Django REST JWT刷新
django-rest-framework、jwt、django-rest-framework-jwt
使用JWT实现了Django REST和身份验证。对于JWT令牌,我们必须在它过期之前对其进行刷新。过期后,JWT将不会提供新的令牌。
对于我的移动设备,我需要每10分钟(JWT_EXPIRATION_DELTA)刷新一次令牌。如果用户没有活动超过10分钟,那么我需要要求登录。有没有什么方法可以在JWT令牌过期后刷新令牌。(我们可以将刷新时间限制为2天)
在Mobile中处理这种行为的最好方法是什么?
谢谢。
浏览 1提问于2017-03-02得票数 7
回答已采纳
1回答
后端和客户端之间的Google登录访问令牌
android、oauth-2.0、backend、google-signin
对于一个黑客周的快速项目,我和我的团队实现了Google登录,作为用户的注册/认证。它的工作方式:
用户在客户端(Android + iOS)上使用SDK登录并请求access_token
客户端接收acces_token,并将对后端的每个网络请求使用该令牌作为查询参数。
我们的后端不代表用户与google服务交互。
我面临的问题是google返回的access_token是短暂的(60分钟)。这基本上引出了两个问题:
短命的access_token是否意味着要以这种方式使用?我已经习惯了另一个流程,您只需使用google或任何其他auth提供者返回的令牌来使用后端进行
浏览 1提问于2016-12-22得票数 0
1回答
在何处安全地将凭据(用户名和密码)放置在Angular8代码中以访问受保护的SpringBoot Rest API
spring-boot、authentication、angular8
我们开发了一个web应用程序,该应用程序使用Angular8作为前端,使用SpringBoot作为服务API。我们使用基本身份验证保护SpringBoot应用程序。因此,当我们需要从前端angular代码调用API时,我们需要将用户名和密码与API标头一起发送。 因此,我们将用户名和密码保存在angular项目的environment.js文件中。这些凭据在加载到浏览器中的客户端代码中公开。 所以,有没有人能帮我把这些凭证放在Angular代码中的什么地方?
浏览 25提问于2021-04-22得票数 0
1回答
Podio Oauth -刷新令牌寿命
oauth、podio、refresh-token
我目前正在研究Podio集成,我偶然发现了一些文章,这些文章没有给出明确的答案: refresh_token是否会自行过期,在这种情况下获得新的刷新令牌的确切流程是什么。
这些条款:
--它不会过期(最近有Podio用户名的人给出了答案)
--它到期了,你得到它作为回应的一部分,但不是rly?有一些讨论,没有结论。
我之所以问这个问题,是因为我使用了许多服务和OAuth实现,但这是刷新令牌第一次真正变得无效。那么,如果28天过去,那么用户必须重新认证?或者只是一个标记无效,但“授予”仍然存在?我不得不说,这是相当混乱的,因为我习惯于授予==刷新令牌,但我理解它的OAuth规范。另外,我们只
浏览 6提问于2017-01-19得票数 1
回答已采纳
1回答
认知如何处理刷新Id和访问令牌?
amazon-cognito、aws-sdk-js、amazon-cognito-facebook
我很难理解亚马逊科尼图中刷新令牌是如何工作的。我了解到,在成功的身份验证中,科尼图返回ID、access和refresh令牌。ID和访问令牌的有效期为一个小时,在此之后认知JS使用刷新令牌请求新的Id和访问令牌。
我的问题是,在刷新时,认知是使用下划线身份验证提供程序重新对用户进行身份验证,还是只返回新的访问令牌?
例如,如果我使用Facebook作为身份验证提供者,那么在刷新时,认知会再次要求用户通过Facebook登录吗?如果没有,是否有办法每隔几个小时强制重新认证一次?
浏览 1提问于2020-07-12得票数 0
1回答
Oauth2刷新标记
java、oauth-2.0、azure-active-directory
目前,我的公司正在运行一款使用IMAP和SMTP的java应用程序,无需用户交互即可阅读/发送电子邮件。我们使用的身份验证协议是基本身份验证。微软宣布停止对基本身份验证的支持,将由Oauth2取代。不幸的是,他们没有为没有用户交互的应用程序提供明确的解决方案。https://docs.microsoft.com/en-gb/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth 我的一个想法是让用户在第一次启动服务时对自己进行一次身份验
浏览 12提问于2020-06-16得票数 2
1回答
理解JWT和刷新令牌方法
authentication、jwt
我读过几篇文章,这些文章介绍了刷新令牌和JWT令牌的设置
在如何/何时获得下一个JWT令牌方面有最佳实践吗?
在我看来,有几种不同的方法。我将无视这篇文章的授权。
登录和认证
在每个服务器请求中,提取一个新的JWT并刷新cookie令牌。
或
登录和认证
如果对服务器的请求由于未经身份验证而失败,则尝试获取新令牌。如果这是成功的,重复原始请求,否则,假设没有登录。
另一种方法是
登录和认证
有一个轮询任务,每n分钟执行一次。在JWT到期之前,刷新并提取一个新令牌。
我知道,在软件中,我们有能力根据我们试图解决的问题,以不同的方式来处理问题。但是,它确实觉得这一定是软件社区已经尝试和测试过的东西
浏览 0提问于2021-10-25得票数 0
回答已采纳
1回答
如何获得laravel /jwt刷新令牌?
laravel、jwt、jwt-auth
我使用laravel / jwt进行jwt身份验证。但是,当我进行身份验证时,只需获取访问令牌,而不是刷新令牌。
在package.json中
{
...
"require": {
"php": "^7.1.3",
"barryvdh/laravel-cors": "^0.11.3",
"fideloper/proxy": "^4.0",
"laravel/framework": "5.8
浏览 0提问于2019-07-27得票数 3
1回答
在移动应用程序上存储会话令牌的最佳方法
authentication、mobile、oauth2、sso、saml
背景
为产品X构建移动应用程序,该应用程序目前作为SaaS解决方案承载。产品X目前不支持OAuth,实现基本身份验证,并在身份验证后生成会话令牌。产品X还实现了支持本地SAML2.0的SSO。
用例
移动应用程序还使用现有的SSO框架实现SSO。在这个移动应用程序中,调用SSO和身份验证时,IDP重定向回SaaS应用程序,该应用程序在接收SAML令牌时发出会话令牌,然后传递给移动应用程序。然后,移动应用程序使用会话令牌调用Product (与SaaS应用程序一起托管)
问题
根据组织安全推荐会话,移动令牌存储是不安全的。他们推荐OAuth/JWT令牌。
可选解决方案
产品X实现了OAuth -
浏览 0提问于2020-04-28得票数 0
1回答
使用用户的密码哈希作为刷新令牌(在JWT中使用密码哈希)?
authentication、jwt、oauth2
我正在建立一个我想要安全的认证系统。我计划使用JWT令牌作为主要的身份验证机制。当令牌过期时,服务器将返回"401未经授权“响应,我希望客户端能够执行无声刷新。这通常是使用刷新令牌完成的。我想知道使用用户密码哈希作为刷新令牌会带来什么安全影响?
除此之外,我还计划在JWT中包含密码哈希。当验证JWT时,我的应用程序将检查JWT中的密码哈希是否与用户当前的密码哈希匹配。如果它们不同,服务器将告诉客户端将用户注销。
在这个过程中是否有我遗漏的安全漏洞?
浏览 0提问于2020-04-15得票数 2
2回答
如何将Firebase用户身份验证到IFTTT服务?
firebase、firebase-realtime-database、oauth-2.0、firebase-authentication、ifttt
我正在尝试构建一个IFTTT服务并将其连接到我的Firebase后端。
我需要对用户进行身份验证,如IFTTT文档:中所示
IFTTT的协议支持OAuth2身份验证,包括如果愿意的话支持刷新令牌。
您的服务API应该使用访问令牌进行身份验证,并将其作为身份来源。单个访问令牌应该对应于服务上的单个用户帐户或资源所有者。
如果使用刷新令牌,则它们必须是不过期的。如果不使用刷新令牌,则访问令牌必须不过期。
但我似乎只能从Firebase获得短暂的访问令牌。我可以从哪里或者如何从Firebase auth SDK中生成这样的令牌?
回复@FrankvanPuffelen的最新消息:
我将创建
浏览 2提问于2018-12-22得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
