使用Google登录网站时,在浏览器中刷新过期的jwt
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。当用户使用Google登录网站时,网站会生成一个JWT并将其存储在浏览器的Cookie中。JWT包含了用户的身份信息和其他相关数据,并使用密钥进行签名,以确保其完整性和安全性。
当JWT过期时,网站需要进行刷新操作以获取新的有效JWT。刷新过期的JWT的步骤如下:
- 用户在浏览器中点击刷新按钮或执行其他操作触发刷新操作。
- 网站检查浏览器中的Cookie,提取过期的JWT。
- 网站向Google发起请求,使用刷新令牌(refresh token)获取新的JWT。
- Google验证刷新令牌的有效性,并生成新的JWT。
- Google将新的JWT返回给网站。
- 网站将新的JWT存储在浏览器的Cookie中,替换过期的JWT。
- 网站使用新的JWT进行后续的身份验证和授权操作。
使用JWT进行身份验证和授权的优势包括:
- 无状态:JWT本身包含了用户的身份信息和其他相关数据,网站不需要在服务器端存储用户的会话信息,使得服务器可以无状态地处理请求,提高了系统的可伸缩性和性能。
- 安全性:JWT使用密钥进行签名,确保了其完整性和安全性。同时,JWT可以使用HTTPS进行传输,保证了数据的机密性。
- 可扩展性:JWT可以包含任意的用户信息和其他相关数据,可以根据实际需求进行扩展。
- 跨平台:JWT是基于JSON格式的标准,可以在不同的编程语言和平台之间进行交互和使用。
使用JWT的应用场景包括:
- 单点登录(SSO):JWT可以用于实现跨多个应用程序的单点登录,用户只需要进行一次登录操作,即可访问多个应用程序。
- API身份验证:JWT可以用于保护Web API,确保只有经过身份验证的用户可以访问API资源。
- 用户授权:JWT可以包含用户的角色和权限信息,用于进行细粒度的用户授权控制。
- 移动应用程序:JWT可以用于移动应用程序的身份验证和授权,提供安全的用户体验。
腾讯云提供了一系列与身份验证和授权相关的产品和服务,推荐的相关产品包括:
- 腾讯云身份认证服务(CAM):提供了身份管理、权限管理和访问控制等功能,帮助用户实现安全的身份验证和授权。 产品介绍链接:https://cloud.tencent.com/product/cam
- 腾讯云API网关:提供了API的访问控制、身份验证和授权等功能,帮助用户保护和管理API资源。 产品介绍链接:https://cloud.tencent.com/product/apigateway
- 腾讯云访问管理(TAM):提供了身份验证、权限管理和资源访问控制等功能,帮助用户实现安全的身份验证和授权。 产品介绍链接:https://cloud.tencent.com/product/tam
请注意,以上推荐的腾讯云产品仅供参考,具体选择应根据实际需求进行评估和决策。
相关·内容
2回答
在基于令牌的认证中使用刷新令牌是安全的吗?
security、token、access-token、jwt、http-token-authentication
我正在构建一个基于令牌的身份验证(使用带角客户端的Node.js/JWT)。
用户输入他的凭据后,他将获得一个访问令牌,并在报头内部的每个请求中发送该令牌(标头:承载令牌)。
我不想每次当他的访问令牌到期时(我想大概每天)都会提示登录请求,我听说过。刷新令牌永不过期(或很少过期),并且能够更新访问令牌即将过期的令牌,客户端可以通过发送刷新令牌发送更新请求来获取新的访问令牌。
我不太明白,我可能遗漏了什么:
长寿命/永不过期的刷新令牌如何不会破坏使用短时间访问令牌的安全性。
饼干可以被偷并使用到过期为止。令牌是短暂的,因此它们更安全,但是如果我提供了一个长寿的刷新令牌,我就失去了
浏览 2提问于2014-12-08得票数 6
回答已采纳
2回答
我不能很好地理解JWT认证
authentication、token、jwt、http-token-authentication
现在,许多开发人员使用JWT身份验证来授权api调用。顺便说一句,如果黑客能够捕获经过身份验证的用户的api调用请求,那么他就可以拥有经过身份验证的JWT令牌。然后,黑客可以使用授权的JWT令牌访问这个api,而无需进行身份验证。这样行吗?我想知道JWT身份验证实际上是安全的。你能解释一下吗?
浏览 5提问于2017-08-04得票数 0
回答已采纳
1回答
使用授权代码授予而不使用cookie?
angular、oauth-2.0、jwt、spring-security-oauth2、openid-connect
我已经读了好几个月了,看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界:
OAuth2
OpenID连接
水疗中心/移动客户
JWT
以上部分涉及到具有银行级安全质量的解决方案。所以这似乎是有意义的。
在不使用服务器端会话和cookie的情况下使用,因为这个OAuth流比隐式流更安全。
不要创建服务器端会话或cookie(此外,请记住我的cookie,以确定客户端以前是否已经过身份验证)。这是更好的缩放和整体简单性。
将JWT / OpenID连接令牌返回到客户端,以便客户端可以使用它来发出API请求并在客户端内作出授权决策。(我认为这就
浏览 1提问于2017-10-06得票数 5
回答已采纳
1回答
将jwt auth/refresh令牌与react集成的好方法?
reactjs、jwt、jwt-auth、express-jwt
LlI发现了这个JWT,它为JWT令牌和刷新令牌提供了一个很好的介绍:
现在我正在尝试将这个设计与一个React应用程序集成起来。我可以将JWT存储在我的应用程序上下文中,然后将其传递给API端点。每个端点将包括一个身份验证钩子,以使用所提供的令牌验证身份验证。
我认为,如果原始身份验证令牌在到期后10秒内,则身份验证挂钩可以生成并返回刷新令牌。
但是,使用这种^方法,我似乎需要将auth令牌或刷新令牌作为API端点响应对象的一部分返回,这样我的反应性应用程序就能够轻松地获得该刷新令牌的句柄,并将其传递给下一个API端点调用。
因此,我只是假设我的React应用程序和Expr
浏览 1提问于2020-03-31得票数 1
1回答
JWT和身份验证安全/模式
javascript、reactjs、security、authentication、jwt
我在javacript中使用JWT令牌构建一个身份验证和授权系统,基本上在登录时,我存储在httponly cookie中:
JWT令牌用户信息(id、用户名、电子邮件)JWT过期(从生成时起5分钟)
当JWT仍然有效时,受保护的页面将对用户有效性进行远程检查(我请求一个作为授权持有者传递userId和auth令牌的API ),远程检查可能需要一些时间(不到1秒),但是每个受保护的页面在检查时都会显示一个加载旋转器;我想知道如果用户登录了它,JWT仍然有效(或者刷新令牌获得一个新的JWT),并且存在带有用户数据的cookie。不涉及外部请求,除非需要刷新JWT
浏览 3提问于2022-03-06得票数 0
回答已采纳
2回答
需要有关刷新令牌机制的帮助
authentication、oauth、jwt
我有一个面向React原生应用程序的客户端。我使用JWT进行身份验证,使用快速过期的访问令牌(10M)和持久的刷新令牌(7d)。
我有两个服务器,一个用于身份验证,另一个用于获取其他内容。
例如:server.com/auth,server.com/activities
我的问题是,如何在这里有一个好的刷新机制?
例如:如果用户在两天后登录并通过我的应用程序查询API,我应该如何向他发送新的访问令牌(使用他的刷新令牌)-记住我的身份验证服务器在一个单独的位置?
我在这里看到的明显的解决方案是从/activities联系/auth,获取新的令牌并在响应的报头中发送新的令牌,而在客户端,不断检查报
浏览 31提问于2021-11-25得票数 1
1回答
撤销/拒绝ASP.NET核心中间件中锁定用户的有效Json令牌
asp.net、jwt、asp.net-core-webapi
我正在使用JWT中间件+ ASP.NET标识在我的ASP.NET核心WebAPI项目中建立一个简单的用户/密码登录。
代币有效期为15分钟。我认为我将利用刷新令牌的概念,让用户登录,当他还在浏览网站或使用移动应用程序( remember me选项呢?)我会创建一个有效期为一个月的令牌吗?)
那么,有什么方法可以撤销生成的令牌呢?我正在考虑(针对每个请求)检查用户是否仍然有权访问API。也许还有另外一种方法来处理这些案件?
我看到一张AspNetUserTokens桌子。也许有一种方法可以自动地将JWT存储在那里?!目前,我只为用户身份验证而使用ASP.NET标识。
浏览 0提问于2018-11-13得票数 1
回答已采纳
1回答
处理刷新令牌
.net、ajax、security、asp.net-web-api
我有一个在我的ASP.NET WebAPI中使用OWIN身份验证的WebAPI,我需要实现刷新令牌。
当用户登录时,API向客户端发送Access_Token、Expiry_Date(3分钟)和Refresh_token。
然后将令牌保存在客户端localStorage中。
我知道,如果refresh_token过期了,那么使用access_token就是要获得新的access_token。
现在我的问题是什么时候做这个?
每次请求Web中的数据时,是否需要检查客户端是否仍然具有有效/未过期的access_token?如果access_token过期了,我需要请求一个新的access_toke
浏览 1提问于2014-06-11得票数 1
回答已采纳
1回答
如何和何时使用刷新令牌?
authentication、microservices
我慢慢地掌握了使用Microservices进行身份验证的诀窍,但我遇到了一个相当基本的问题。我假设的架构如下:auth微服务、处理注册、登录、令牌刷新和处理用户待办事项的TODOS微服务。
我希望在刷新令牌的同时使用短命的JWT。
如何使用刷新令牌?由于JWT的过期时间太快(几分钟),我是否向todos提出请求?同时,如果JWT过期,我会发回一个错误(未经授权或JWT过期的特定错误)?然后,我会返回auth服务刷新,然后再以某种方式调用API吗?我是否在客户机上池并定期检查JWT是否已过期?
这些是我的一些问题,但基本上可以归结为
如何处理JWT到期?(在调用API和空闲时)是返回JWT已过
浏览 1提问于2022-04-01得票数 1
回答已采纳
1回答
Web :授权或/和身份验证
api、authentication、oauth、authorization、hmac
我创建了asp.net web项目。我需要添加授权或/和身份验证。我读过很多关于OAuth、SAML、JWT、HMAC等的文章,每次我看到作者都强调OAuth不是身份验证,您需要将authN与authZ区别开来。我有点困惑,因为我不明白:
当我需要使用身份验证(SSO,登录/密码)和何时授权(OAuth,令牌)的API?
HMAC、JWT是用于授权还是用于身份验证?因为它们是经过签名的,所以我可以将userid添加到此令牌中,使用类似于用户标识符。
authN工作流和authZ工作流有什么真正的区别?
浏览 7提问于2015-10-14得票数 0
回答已采纳
1回答
使用JWT实现OAuth中客户端身份验证和授权授权的区别
oauth-2.0、jwt
我一直在阅读,因为它在OAuth中使用JWT (JSON令牌)。
在和中,它指出JWT可以用作授权赠款或客户端身份验证。
根据我的理解,身份验证是识别某个东西(这个用户是他声称的那个人),授权是检查一个用户是否被允许做他所要求的事情。
JWT作为授权授予是有意义的,因为请求是通过签名而隐式标识的。大多数支持此方法的API使用JWT作为授权授予。见和。
这让我很困惑。为什么需要JWT身份验证作为一个单独的东西?在什么情况下/用例下需要JWT身份验证?
浏览 2提问于2013-01-12得票数 5
1回答
如何处理移动web服务的身份认证?
design-patterns、web-services、mobile、app
我正在开发一个移动应用程序,并且使用JSON令牌身份验证(JWT ),但是我有三个问题:
我应该使用刷新令牌还是未过期的访问令牌?
如果我使用刷新-令牌,当令牌过期时,我是否应该签出用户(并强迫用户再次登录)或创建一个新的令牌,并将其发送回应用程序,以便用于将来的请求?
如何在手机上保存令牌(数据库、首选项等)?
有关这方面的任何帮助和资源(书籍、文档、博客等)将不胜感激,谢谢提前!
浏览 0提问于2015-02-01得票数 -1
5回答
JWT刷新令牌流
security、authentication、oauth-2.0、jwt
我正在构建一个移动应用程序,并使用JWT进行身份验证。
这样做的最佳方法似乎是将JWT访问令牌与刷新令牌配对,以便我可以任意频繁地将访问令牌过期。
刷新令牌是什么样子的?是随机字符串吗?那串加密了吗?是另一个JWT吗?
刷新令牌将存储在用户模型上的数据库中以供访问,对吗?在这种情况下它似乎应该被加密
我是否会在用户登录后将刷新令牌发回,然后让客户端访问一个单独的路由来检索访问令牌?
浏览 3提问于2014-12-31得票数 267
回答已采纳
1回答
关于网站数据迁移腾讯云的若干问题。问题之一:腾讯云有等保级别?
数据迁移、tcp/ip、windows
事情背景是 2018年建立了网站,网站有工信部备案号。主域名、IP都正常在用。网站接入方式是 租赁虚拟空间。等保备案号、等保级别、等保系统都没有。系统软件版本是 windows 2008,路由器、交换机、服务器、安全设备都 “为虚拟机,不是独立单台服务器”
网站现在需要整改(公安部备案、达到等保要求等等)
问题:
1、对网站数据进行迁移腾讯云支不支持?
2、腾讯云有没有最低等保2资质?
3、完成迁移和后续持续运行对腾讯云的配置有什么要求?
4、迁移和持续运行每年需要大概多少费用?
浏览 272提问于2022-03-08
1回答
托管在Amazon上的微服务应用程序中的用户身份验证
amazon-web-services、authentication、architecture、microservices、amazon-cognito
我正在构建基于微服务架构的web应用程序。目前,我正在考虑几种用户身份验证流的方法。我预测了以下示例用户角色:
admin -能够创建内容、上传文件等(管理帐户只能由另一个管理员创建)
未经授权的用户-可以查看内容
授权用户-可以评论内容
以下是到目前为止我是如何考虑身份验证流的:
身份验证服务-具有用户凭据和权限的数据库访问权限
api网关-从用户检索请求,检查用户是否登录(即用auth服务验证OAuth2访问令牌),并根据用户请求(使用一些基本用户信息附加JWT令牌)将流传输到其他服务。
另一个服务--只接受来自api网关的请求,并信任来自JWT令牌的用户数
浏览 3提问于2017-03-27得票数 4
1回答
和C#后端
c#、android、jwt、grpc、google-authentication
我想开发一个android应用程序,用户可以通过他的谷歌账户进行身份验证。然后,我还想在我的C#后端使用Google的详细信息(至少目前不是用于访问Google,而是为了节省额外的用户管理系统)。传输层为gRPC。似乎有许多方法可以做到这一点,目前我选择了以下几种方法:
在Android中,使用GoogleSignIn客户端允许用户登录。我从SignIn客户端获取帐户详细信息作为ID令牌(实际上是一个JWT)
将JWT连同一个gRPC调用一起作为元数据发送(在RequestHeader中)
在C#后端提取JWT并使用GoogleJsonWebSignature.ValidateAs
浏览 0提问于2018-07-12得票数 0
回答已采纳
3回答
在使用JWT令牌身份验证时,是否真的需要刷新令牌?
authentication、oauth-2.0、jwt、access-token、http-token-authentication
我引用了另一篇关于如何使用JWT刷新令牌的文章。
我有一个非常常见的架构的应用程序,我的客户端(web和移动)与REST对话,然后与服务层和数据层进行对话。
我理解JWT令牌身份验证,但我对如何使用刷新令牌感到有点困惑。
我希望我的JWT身份验证具有以下属性:
JWT令牌的到期时间为2小时。
客户端每小时刷新一次令牌。
如果用户令牌未刷新(用户处于非活动状态,应用程序未打开)并过期,则他们需要在任何时候重新登录。
我看到很多人声称使用刷新令牌的概念使这成为一种更好的体验,但是,我不认为这有什么好处。这似乎增加了管理它的复杂性。
我的问题如下:
浏览 9提问于2015-08-17得票数 91
1回答
Firebase:无需用户重新登录即可管理用户与服务器的会话?
firebase、firebase-authentication、google-cloud-functions、firebase-admin
我们有一个REST API (Python + Flask),通过Google云函数向外部用户公开。我们还有一个web应用程序(React),它使用此API在web上显示结果。因此,我们的功能有两个接口: REST API和Web。
现在,根据新的要求,我们正在我们的网站上实现用户注册/登录模块(使用电子邮件和密码),以便只有注册/登录的用户才能在网站上看到结果。
我们计划使用Firebase。在我们的网站中集成Firebase客户端SDK非常简单(添加了一个新的登录页面,以便用户可以登录,一旦登录,他们将保持登录状态,直到浏览器cookie被清除)。
我们也希望对REST API的用户进行类
浏览 0提问于2019-08-11得票数 1
2回答
访问/刷新令牌混淆
node.js、express、authentication、jwt
我已经阅读了很多关于这个主题的文章,我可以看到,对于使用JWT进行身份验证,有很多不同的观点和方法。
我的理解如下: JWT身份验证机制最简单的形式应该是:
password.Create 验证用户名,它是一个签名的JWT访问令牌,包含用户的信息(取决于应用程序的需要)。在响应中发送该令牌。客户端的则存储令牌(据我理解,该令牌是否更安全),并将其与每个请求的头部一起发送。然后,服务器可以通过验证JWT来授权用户中间件。没有状态,包含在JWT.中的所有信息。
假设JWT没有过期(或者可能是很长的到期日期,可能是几个月),这听起来不错,因为我可以为用户提供一个长时间的持久登录状态。据我所知,我担心
浏览 6提问于2021-06-27得票数 0
1回答
与Apple安全公司签到链接帐户
security、jwt、sign-in-with-apple
假设您在web平台上有一个现有的用户管理/数据库。为了更快地登录和注册过程,与苹果公司的登录应该集成在一起--尽管它总是会创建一个与电子邮件地址链接的常规帐户(只是没有常规密码)。使用苹果提供的(验证的) JWT认证安全吗?
登录(现有帐户)将采取以下步骤:
用户在应用程序中点击“与苹果登录”
从Apple生成的JWT被发送到身份验证服务器
服务器使用Apple的API端点提供的公钥验证JWT
服务器从(验证的) JWT中提取电子邮件,如果存在该电子邮件的用户,则该用户将被登录(API返回会话的内部访问/刷新令牌)
浏览 2提问于2021-02-10得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
