具有会话的节点还是用于大型用户群应用程序的JWT?
具有会话的节点和JWT(JSON Web Token)都是用于身份验证和授权的机制,但在不同的场景下有不同的应用。
具有会话的节点是一种传统的身份验证和授权机制,它基于会话的概念。当用户登录应用程序时,服务器会创建一个会话,并为该会话分配一个唯一的会话ID。该会话ID会存储在用户的浏览器中,通常以cookie的形式保存。用户在与应用程序交互时,会将会话ID发送给服务器进行验证。服务器通过验证会话ID来确定用户的身份和权限,并相应地处理请求。
JWT是一种无状态的身份验证和授权机制,它使用JSON格式来传递信息。JWT由三部分组成:头部、载荷和签名。头部包含了加密算法和类型信息,载荷包含了用户的身份信息和其他相关信息,签名用于验证JWT的完整性。用户在登录时,服务器会生成一个JWT并返回给客户端。客户端在后续的请求中将JWT作为身份验证凭证发送给服务器。服务器通过验证JWT的签名来确定用户的身份和权限,并相应地处理请求。
对于大型用户群应用程序,JWT通常更适合使用。因为JWT是无状态的,服务器不需要在后端存储会话信息,这对于大规模的用户群体来说更加高效。此外,JWT还可以包含更多的自定义信息,使得在不同的服务之间共享用户身份信息更加方便。
腾讯云提供了一系列与身份验证和授权相关的产品和服务,例如:
- 腾讯云身份认证服务(CAM):提供了身份管理、权限管理和资源管理等功能,帮助用户实现精细化的访问控制和权限管理。详情请参考:腾讯云身份认证服务(CAM)
- 腾讯云API网关:提供了全面的API管理和安全控制功能,支持JWT等多种身份验证方式。详情请参考:腾讯云API网关
- 腾讯云访问管理(TAM):提供了统一的身份认证和访问控制服务,支持多种身份验证方式和精细化的权限管理。详情请参考:腾讯云访问管理(TAM)
请注意,以上仅为腾讯云提供的一些相关产品和服务,其他云计算品牌商也提供类似的解决方案。
相关·内容
2回答
我想要创建角形9+ Spring应用程序与强烈的安全投诉PCI安全标准。
为了在使用角启动和Spring引导时具有高度安全性,用户会话首选哪一种安全协议:
会话曲奇
OAuth2
OAuth2 + JWT
JWT
目前,我正在考虑使用JWT来保护应用程序。您能分享一下我可能使用JWT的问题吗?这是一个不错的选择吗?
浏览 0提问于2020-05-23得票数 0
1回答
我正在编写我的第一个基于OAuth.io身份验证的应用程序,但我正在努力理解如何开始。我已经读了很多,但我还是不清楚。
本质上,我希望nodejs执行对OAuth.io的实际调用,然后生成一个令牌(JWT?)与Angular 4前端共享。我必须说,我发现文档中使用的语言有点难以理解,我不确定这是因为我很愚蠢,还是因为我真的应该去通俗地阅读一下OAuth,看看它是如何工作的。
谁能给我举一个nodejs,OAuth.io和Angular JS/2/4如何协同工作的例子?我在万维网上找不到一个。看了GitHub,一点也不高兴。
谢谢!
浏览 2提问于2017-04-22得票数 0
1回答
我们使用的是用于实时应用程序和REST的羽毛We - 框架。用户名密码是标识提供程序,我们正在使用它进行JWT身份验证。
我们可以使用JWT,引用链接创建访问令牌- 这个accessToken现在可以用于其他需要认证的REST请求,方法是发送授权:承载HTTP报头。
正如默认情况下所提到的,JWT有效负载中存储羽毛的唯一东西是用户id。它是一个有状态的令牌,但在JWT有效负载中找不到相同的引用。
我们还能够使用链接撤销JWT访问令牌--我们使用的是。
现在的问题是这个JWT访问令牌存储在哪里,这个JWT是无状态的还是状态的。
如果这个JWT是状态的,那么我们真的需要在我们的节点js应用程序中维
浏览 2提问于2020-01-30得票数 0
回答已采纳
我们有10个Tomcat实例都在运行相同的web应用程序。我们使用硬件负载均衡器,它将请求转发到任意服务器。在这种情况下,如何跨所有Tomcat实例维护会话?
浏览 0提问于2013-12-05得票数 0
1回答
当使用驱动程序时,何时可以在同一集群下使用多个会话?我无法找到有一个集群和多个会话的好用途。我的应用程序有多个组件/模块访问Cassandra。根据答案,我可以决定是每个组件/模块共享一个会话,还是在应用程序的所有组件之间共享一个会话。
更新:在互联网上的任何地方,他们都推荐使用一个会话。我明白,但我的问题是“在什么情况下,您要为一个集群创建多个会话?”如果没有这样的场景,为什么库允许创建多个会话,相反,库可以只有一个方法来返回一个单例会话对象。
浏览 2提问于2017-03-31得票数 2
如果我在一个负载均衡器后面设置多个django服务器,我希望SECRET_KEY是相同的,还是不同的,或者这有什么关系?文档中对于这个值到底是用来做什么的有点含糊。
浏览 2提问于2012-06-01得票数 9
回答已采纳
1回答
我在我的应用程序中使用AWS认知技术对用户进行身份验证。AWS为我们提供了JWT令牌。我的问题是,我们是否需要使用快捷会话来处理会话管理,还是AWS认知提供的JWT令牌来处理经过身份验证的用户的会话管理。
浏览 1提问于2017-10-13得票数 1
回答已采纳
1回答
我正在尝试制作一个多页面的web应用程序,它使用json令牌进行身份验证。在单个页面应用程序中使用JWT相当简单,因为您只是在XHR上设置头部并将其发送出去,但是为常规浏览器请求设置头部似乎要困难一些。
这里可以使用查询字符串,但最好使用头。
是否可以从javascript设置常规浏览器请求头?特别是授权头。如果是的话,是如何做到的?还是因为它会带来一些巨大的安全隐患而被阻止呢?
浏览 5提问于2015-05-04得票数 1
回答已采纳
我完全不明白下一个文件。
我知道您可以同时使用JWT和会话,但是如何告诉下一个您使用的是哪一个呢?next-auth将其会话或JWT存储在何处?在服务器端还是客户端?
浏览 5提问于2022-08-21得票数 1
回答已采纳
关于JWT(json令牌)的一些问题:
它能用手机吗?
在我看来,它适用于移动应用程序,但对于authentication?来说,它是一个很好的解决方案吗?如果不是,还有哪些其他解决方案可以用于移动应用程序和服务器之间的身份验证?
这是一个会话的替代品吗?
在一般情况下,会话将存储一些敏感数据,它不能在jwt中这样做(不能在jwt有效负载中存储敏感数据,因为它不安全)。
在我看来,敏感数据只能存储在其他地方,比如redis。但是想一想,jwt和session有什么区别呢?我现在很困惑。
浏览 8提问于2016-06-14得票数 3
回答已采纳
为了学习的原因,我正在做一个个人项目,并且已经达到了认证和授权用户的地步。我希望尽可能保持该项目的无状态性,以确保它可以在1台或100台机器上运行,而无需付出很大的努力。
下面是我当前在这个微服务体系结构上为我的用户制定的行动计划:
用户使用一个MVC应用程序,该应用程序为游戏提供服务。它们没有登录,因此被重定向到登录页面。
成功登录后,MVC应用程序将在用户的cookie中设置一个JWT。JWT只包含用户id及其声明(用户、管理等)。JWT逻辑由IdentityServer4管理。
用户登录到MVC应用程序,就可以玩游戏了。用户发布他们想要的任何移动,以及他们正在玩的游戏的ID。
MVC应用
浏览 0提问于2019-06-18得票数 0
在我的rails项目中,我正在进行服务器端地理编码。Android应用程序找到纬度和经度,并将纬度和经度发送到我的rails应用程序。Rails应用程序进行反向地理编码,根据android移动应用程序提供的纬度和经度查找地址。
这工作得很好,但问题是Google在服务器端地理编码上提供了限制。谷歌每天只提供2500个请求,这对我来说是不够的。为了克服这一点,谷歌提供付费服务,允许每天100000个请求的单个域名,并根据我的应用程序需要,即使每天100000个请求也是不够的。
所以我的问题是,如果我购买了谷歌地图许可证付费API服务,每天提供100000个地理编码请求,并在移动应用程序上使用客户
浏览 2提问于2015-02-07得票数 0
1回答
我已经实现了许多Restful和web应用程序,我过去常常生成一个JWT,并给出一些过期的时间。
目前,我正在开发移动应用程序,它们都在相同的Restful上工作,但我对移动应用程序中的令牌过期并注销用户感到有点困惑吗?
在许多地方,网站和我确实知道,JWT永远不应该永远活下去,而且到期的时间必须是很短的时间,也许一天或更短。
但是如果手机注销了用户,它会被认为是糟糕的用户体验吗?
另一方面,用户可能会单击“记住我”复选框,那么JWT将如何过期?
任何想法都将不胜感激。
浏览 5提问于2020-09-21得票数 4
回答已采纳
我目前正在开发一个主要使用HTML和css构建的移动应用程序,然后使用phonegap运行。应用程序的一部分要求用户登录并与后端同步数据。我希望这样做,一旦用户登录到他们的设备上,他们将继续登录,直到他们手动注销;他们应该只需要输入他们的信息一次。在使用本机代码时,我发现了一些很好的信息,但并不适用于我的情况。
现在,我不知道如何以一种安全的方式正确地做这件事。我的第一个想法是正常地处理登录,然后传回一个秘密代码,它既存储在设备上的本地存储中,也存储在通过它进行身份验证的用户的数据库中。在随后的请求中,它将传递这一信息,并允许访问具有匹配的秘密代码的用户。我的问题是这样的安全是否足够实用?
我
浏览 2提问于2016-01-02得票数 1
我喜欢在Notepad++中浏览我的C++项目。我使用SourceCookifier插件是为了方便地在大文件的定义之间切换。但是,如果我加载一个包含大量#define和typedef声明的大型C++头文件(大约30.000行),它似乎会挂起并且需要很长时间才能加载。
有没有人知道有没有什么选项可以让它更快,或者这个插件通常不会加载这么多的定义?
浏览 0提问于2012-05-11得票数 4
回答已采纳
我正在尝试使用openid为我的应用程序创建一个SSO。
基本上,我们有一个API层,不同的应用程序(客户端)将使用该层的服务。
首先,我们为每个不同的应用程序添加了授权OAuth2.0;对于身份验证,我们目前正在使用我们自己的数据库(IDP)
我们希望最终的用户对这个流程有一个单一的体验标志。为此,我们在我们构建的OAuth流的基础上添加了openid。
web服务器具有标准的oauth + openid实现,并具有以下功能
显式流
隐式流
密码授予
在添加openid连接时,服务器现在也能够发送id_token (jwt),这取决于范围和请求类型。
注册的客户有两个(C
浏览 0提问于2018-08-13得票数 4
正如我所理解的,JWT身份验证基本上是这样工作的:
用户向服务器发送登录凭据。
如果登录凭据是正确的,则服务器发出包含用户id和用户名的JWT (或负载中标识用户的任何内容)。
此JWT使用应用程序范围的机密生成,应该存储在环境变量中。
JWT由用户存储,例如在localStorage中存储,并与每个请求一起发送到报头中的服务器。
使用应用程序范围的机密验证来自auth头的JWT。如果验证成功,我们就知道是谁发送了请求,以及请求是否被授权。
但是,如果攻击者能够访问用于生成JWT的秘密,会发生什么情况呢?这不像主密码吗?有了秘密和用户id/用户名,任何人都可以为任何
浏览 2提问于2015-06-19得票数 1
我是在阅读"https://stormpath.com/blog/token-auth-spa“和"https://paragonie.com/blog/2015/04/secure-authentication-php-with-long-term-persistence”(其中包括:-)之后,我想避免的是盲目地使用我能想到的每一种安全措施,只是为了感到更安全。就像散列“以防万一”。
我现在所拥有的(介绍平均示例的第三天) --我有JWT令牌(用户的id)+过期日期。所以这个记号不会永远存在。为了获得“记住我”的特性,将此令牌存储为cookie。
这里困扰我的是服务器添加到混
浏览 0提问于2016-07-08得票数 7
回答已采纳
6回答
在像身份验证这样的情况下,在会话上使用JWT有什么好处?
它是作为一种独立的方法使用,还是在会话中使用?
浏览 6提问于2017-04-17得票数 272
回答已采纳
我正在开发一个使用OpenId连接隐式流和Auth0提供程序的应用程序。我已经能够从Auth0获得JWT令牌,现在我想在Couchbase同步网关中启动一个会话。
为此,我向/{db}/_session发布了一篇文章,其中返回了一个带有SyncGatewaySession id的cookie。据我所知,这应该与同步网关web界面中的用户相关.但是,我看到没有创建任何用户。
那么,是否有一种方法可以查看用于复制的用户呢?
还是确保同步网关正确读取JWT令牌的方法?
当我通过在配置文件中设置以下内容禁用来宾用户时,编辑,
"users": {
浏览 3提问于2017-05-23得票数 6
回答已采纳
来自
cookie与HttpOnly cookie标志一起使用时,无法通过JavaScript访问,并且不受XSS的影响。您还可以设置安全cookie标志,以确保cookie仅通过HTTPS发送。这是过去利用cookie存储令牌或会话数据的主要原因之一。现代开发人员对使用cookies犹豫不决,因为他们传统上需要将状态存储在服务器上,从而破坏了RESTful最佳实践。cookie作为存储机制,如果要在cookie中存储JWT,则不需要将状态存储在服务器上。这是因为JWT封装了服务器服务请求所需的一切。
当我阅读这篇文章时,我理解带有“state”的cookie是一个cookie,其中包
浏览 9提问于2016-02-21得票数 0
回答已采纳
在我的nodejs应用程序中,我使用jwt令牌进行身份验证。现在,在创建令牌之后,将对其进行验证。为此,应将其存放在某个地方,以供核查之用。因此,我的问题是,是针对相关的userid将其存储在单独的数据库模式中,还是将其存储在其他地方?
浏览 3提问于2017-03-23得票数 7
回答已采纳
上下文
在一个烧瓶应用程序中,我们使用一个签名的cookie (编码的JWT)来处理用户数据,但是数据量变得太大了,无法放入cookie (每个项的特定权限)。
这里来了redis,而不是将权限存储在JWT中并来回传递,我们只需将其保存在redis中即可。
我的问题是
有签名的会话cookie(编码的JWT)并使用redis存储其他会话信息有什么好处?
与其使用类似于的方法,不如自己实现会话逻辑吗?
浏览 3提问于2020-07-07得票数 0
回答已采纳
1回答
我已经在移动应用程序上与JWT合作过,但我将首次在一个网站上实现它,以便进行身份验证,而且我还有一点还不明白:
如果我在localStorage中使用JWT令牌,XSS攻击是可能的。
如果我在cookie中使用JWT令牌,那么CRSF攻击是可能的。
但是,如果我在HTTPS上使用JWT令牌和httpOnly+secure cookie,并且令牌生存期为1个月,那么在这种情况下,CSRF攻击仍然可能吗?
我在web上看到了使用cookie的自定义令牌,或者使用localStorage或JWT的自定义令牌,但是我没有明确地得到httpOnly+secure cookie + JWT
浏览 3提问于2016-02-10得票数 16
回答已采纳
1回答
我正在使用cakePHP创建api。我已经为用户登录创建了一个api。此登录功能运行良好。这是登录函数-
公共函数登录(){
if ($this->request->is('post')) {
$user = $this->Auth->identify();
}
}
现在,我面临的问题是,如何从其他api (即用户登录与否)进行测试?在web应用程序中,默认情况下可以使用auth系统($this->Auth->user())。但我不知道如何检查这个用户是否从另一个api登录。是否需要向每个api请求发送api
浏览 0提问于2019-02-27得票数 1
回答已采纳
我的应用服务器使用JWT身份验证,我的前端是React (但在这个问题中最好是Angular )。
用户第一次登录时,应用程序交换用户提供的username+password,并获得一个JWT令牌,以便向应用程序服务器发出内部应用程序接口请求。
从用户体验来看,我真的希望用户不必在每次进入"myapp.com“时都输入他们的username+password。但这又带来了另一个问题。出于安全目的,JWT密钥通常是短暂的,必须使用旧的JWT (短时间)更新,或者在密钥的“生命周期”结束后使用新的username+password更新,并且不允许更多的更新。
在这种情况下,维护一个没有麻烦
浏览 9提问于2017-06-22得票数 0
回答已采纳
2回答
在我的web应用程序(节点表达式)中,我使用JWT来保持用户的身份验证状态。由于我使用的是JWT,所以在护照配置中关闭了session:
passport.authenticate('jwt', { session: false });
现在,我需要与Xero(或推特)集成,OAuth策略就像我需要用户的授权一样,遵循。
但是,当护照使用OAuth策略进行身份验证时,会出现错误:
Error: OAuthStrategy requires session support. Did you forget app.use(express.session(...))?
错误消息中的s
浏览 0提问于2017-05-12得票数 0
回答已采纳
1回答
目标是为我的web应用程序构建一个用户配置文件系统。用户可以登录、维护会话并查看他的配置文件。在网上阅读了关于如何做到这一点的各种教程后,我感到有点不知所措。每个人都使用不同的库,作为网络开发的新手,不清楚每个库做什么。我看过下面的库,有人能解释一下用户配置文件交互的流程以及每个库的位置吗?
passport
passport-local
bcrypt-nodejs
connect-flash
express-session
jsonwebtoken
express-jwt
morgan
cookie-parser
浏览 2提问于2017-05-01得票数 1
回答已采纳
(事先对可能误用认证/授权一词表示歉意)
我正在建立几个web应用程序,与一个类似于这样的身份提供者进行对话。
A -----> idP
/ \
/ \
/ \
\/_ _\/
B C
如果应用程序A将向B和C发出推拉数据的请求,它必须在使用应用程序A的用户的上下文中这样做。考虑到我在idP上使用的是idP,我的第一个想法是使用身份提供者颁发的承载令牌,并将其传递给每个应用程序,作为从应用程序A到B/C“登录”的一种方式。
这种方法的问题是,B/C不知道承载令牌属于谁。为了
浏览 0提问于2016-04-08得票数 3
在我的/etc/default/grub文件中,我使用"hugepages=N“显式地留出了N个巨大的页面。如果我在一个有2个NUMA节点的机器上运行,是为每个节点预留N/2个大页面,还是将它们都转到节点0,或者...?另外,有没有一种方法可以在命令行上查询它们是如何跨节点拆分的?
浏览 15提问于2016-07-21得票数 0
回答已采纳
1回答
我是一个应用程序开发人员,并且正在为我的应用程序构建一个基于令牌的auth机制。本质上,用户将使用username+password登录,如果凭据有效,我的代码将生成一个JWT (可能会有30分钟的到期时间,至少一开始是这样)。
如果他们试图请求经过身份验证的资源,他们将需要将JWT作为承载令牌存储在他们的HTTP auth报头中。当发生这种情况时,我将验证/验证JWT,如果效果良好,则给予它们访问权。
现在,我正在为设计的一个特定方面而挣扎,我想知道在这种情况下,安全最佳实践规定了什么,即:在我的JWT上可以/应该将什么信息作为“声明”吗?
首先,我不太确定JWT声明的基本意图是什么,这可能
浏览 0提问于2020-11-13得票数 2
回答已采纳
2回答
我有一个绝对的噩梦试图设置JWT与我的快递应用程序!现在我认为它已经基本正常工作了,我有一个注册路由和登录路由,它们都能正确工作并生成有效的令牌,而且我在'/users‘路由中还有另一个路由来测试身份验证,这一切都很好。但是,我有另一个包含'/api‘路由的文件,这是身份验证实际上很重要的地方,我有一个类似的尝试访问req.user的测试路由(就像我在另一个路由中所做的那样),但是req.user似乎是没有定义的。通过一些调试,它看起来像是在req.account中,这是非常奇怪的,我不明白为什么不在req.user中
我在/config/passport.js中定义了我的jw
浏览 1提问于2016-11-13得票数 3
回答已采纳
1回答
Oauth2和JWT的区别
、、、、
我对这个话题感到困惑,我一直在使用NODEJS API进行JWT身份验证,我听说过Oauth2,并且正在阅读Oauth2可以使用JWT的文档,所以我的问题是,我应该将Oauth2用于将由react前端应用程序使用的rest API还是继续使用JWT身份验证。 那么,如果使用Oauth2,前端将如何处理这个问题呢?因为我们已经看到rest API提供了Google provider Log In页面的例子
浏览 25提问于2021-04-22得票数 0
1回答
在无状态JSON令牌中存储的内容
、、、、
最近,我一直在阅读JWT,我觉得我非常了解它们是如何制作的,以及如何将它们用于身份验证。
如果我正确理解,当我需要几个web服务( app )时,就会出现一个有状态应用程序的挑战,每个类型的设备都使用该应用程序(web、mobile等)。然后,web服务必须以某种方式同步会话状态,这是很困难的。
相反,我们将状态客户端(最好在cookie中)存储在加密和签名的JWT中。
到目前为止,我是否正确地理解了它?
然后,我的主要问题是: JWT中究竟存储了什么,比如在线商店?它是否完全替换了存储在数据库中的所有用户信息?因此,配置文件信息,图像,购物车,保存的内容(文章,repos等,如果适用),等等
浏览 0提问于2018-10-21得票数 2
回答已采纳
所以..。我读过无数篇文章,但仍然无法思考使用哪一种;如果一个简单的JSON令牌就足够了。
我有一个Wordpress网站和移动应用程序的上述网站。
我可以登录我的网站使用电子邮件和密码,我也可以登录我的移动应用程序使用电子邮件和密码。
移动应用程序通过Wordpress REST与网站进行通信。它(移动应用程序)向API发送用户电子邮件和密码,如果两者都有效,则API返回一个JWT。
然后,我只需将JWT存储在用户的设备中。
我主要怀疑的是:
对于不太敏感的用户数据的移动应用程序,,这是否足够安全?
对于具有敏感用户数据的移动应用程序来说,这是否足够安全?
或者在这两种情况下我都应该使用OA
浏览 1提问于2020-09-17得票数 1
回答已采纳
我有一个express + postgres后端,我正在使用passport-facebook for FB oauth。
如果用户在/上访问我的应用程序时没有localStorage中的有效令牌,他们就会被带到/login。
我的/login页面(在那里你会看到熟悉的“继续使用Facebook”的消息)是服务器渲染的(出于各种原因)。单击此按钮后,我要么验证用户是否存在并向他们发送带有初始JWT的会话cookie,要么创建一个新用户并向他们发送带有初始JWT的会话cookie。在这两种情况下,成功的条件都是它们被重定向到/并为SPA资产提供服务。
SPA首先要做的一件事是从会话cookie中
浏览 3提问于2017-07-26得票数 0
1回答
我正在制作一个应用程序,我有几个关于亚马逊科尼图的问题:
我读到,当您登录到Cognito时,它返回一个JWT令牌,包括: ID令牌、访问令牌和刷新令牌。我的第一个问题是,我应该将这些令牌保存在我的应用程序中,这样用户就可以继续登录,并且永远不必登录。我是把它保存在状态中,还是保存在饼干等其他地方?我不明白这个。
如何使用JWT发出经过身份验证的api请求?
如何在幕后刷新JWT,以便用户能够继续登录?在文档中我不清楚这一点。一旦JWT过期,用户如何保持登录而不必每次登录?
谢谢!
浏览 3提问于2020-10-18得票数 0
回答已采纳
在web应用程序中,在会话中存储用户IP地址是否比不使用它更安全?我认为,如果我在cookie中存储一个JWT,其中包含用于会话身份验证的IP地址,将阻止攻击者使用另一个用户的会话令牌作为自己的会话令牌,因为我的服务器将检查来自请求的IP地址是否与cookie中的IP地址相同。
这种方法会使web应用程序更安全吗?还是有办法绕过这些措施?
浏览 0提问于2022-05-14得票数 1
回答已采纳
2回答
JWT认证还是cookie?
、、、、
我目前正在为我的网站创建一个登录系统。为了保护登录服务,我应该使用JSON令牌和HTML5存储,还是应该使用旧的使用cookie的方式?这些选项中的任何一个是安全的还是有更好的方法来保护我的系统?
另外,如果我确实使用了JWT或cookie,那么最安全的用户身份验证方法是什么呢?
请注意:本网站将只有少数用户,因为它是一个个人网站。
浏览 0提问于2017-11-25得票数 0
1回答
我是新来的web服务器开发。我正在开发一个NodeJS web服务器,它同时服务于web (AngularJS/ReactJS)和本地移动应用程序(Android)。在我的项目中有一个特定于用户的特性。
我很困惑,花了几个小时寻找与csrf和身份验证相关的安全问题。
我的问题是
1)在 web和移动应用程序中,应该使用哪种方法同时解决csrf和身份验证问题?-是JWT (JSON令牌)还是CSURF中间件;
请详细解释。
如果有其他的方法,请说明。
提前谢谢。
浏览 0提问于2019-03-19得票数 0
1回答
多个子域之间的共享会话
、、、
我有多个前端和后端应用程序运行在同一领域的不同子域上。在主前端应用程序中,我想构建一个在子域()之间切换的东西,但也保留会话(会话)。
我试过:
使用express-sessiondo的使用JWT authenticationlocalStorage的一些技巧无法工作,因为它仅在一个URL上持久化
但还是搞不清楚:
可以在多个子域中共享会话吗?
跨多个子域共享会话的最佳解决方案是什么?
我使用的技术:
前端: React JS后端: Node & Express JS
浏览 7提问于2021-11-14得票数 0
回答已采纳
1回答
我在Spring应用程序中使用JWT身份验证。前端将是一个单一页面的应用程序。
我应该处理服务器端的注销功能吗?据我所知,除非有状态服务器(将注销令牌存储在令牌的最大生存期内),否则无法使JWT令牌失效。
SPA每次在其标头中发出请求时都会传递JWT令牌,并且当用户访问localStorage时,它可以将其从/logout中删除,而无需调用服务器。
潜在的问题是什么?这个主意在其他地方用过吗?什么是最佳做法?
浏览 0提问于2017-05-05得票数 2
回答已采纳
我试图建立一个注册/登录系统使用PERN堆栈(Postgres,Express,React & Node)的客户网站。
我正在做一些研究,并遇到了HTTP和JWT令牌授权(更多,但显然这两个是占主导地位)。
我注意到很多使用Node的应用程序和教程似乎都使用JWT,并将它们存储在localstorage中。但我对安全性表示怀疑,因为我觉得开发人员基本上可以进入本地存储并获得JWT令牌,哪个o
是否有更好的方法来保护这个堆栈的用户身份验证,还是使用localstorage作为经验法则?若然,为甚麽呢?
谢谢您抽时间见我。
浏览 0提问于2020-07-10得票数 1
回答已采纳
1回答
我们有3只猫使用相同的web应用程序,使用相同的DB。
我们想要使用非粘贴会话。
这意味着我们必须在tomcats (集群?)之间共享会话(复制)。
我们不喜欢德尔塔马槽的想法,因为它是一个全方位的复制和领先成本。
然而,我们也不太喜欢备份管理器(仍然有多个副本)。
我的问题是:
是否有可能定义一个单独的tomcat,它将是一个“会话管理器”,而所有其他tomcat都不会单独保留会话?
这样就不需要广播会议..。
浏览 2提问于2013-10-29得票数 0
1回答
我刚看了。它声称可伸缩性是server based Authentication的主要问题,因为服务器必须在本地存储会话。提示token based authentication是一种治疗方法。
但真的吗?
身份验证只是可能导致可伸缩性问题的地方之一。只要在服务器端存储任何特定于用户的状态信息,无论它存储在会话作用域还是web应用程序范围,都会导致可伸缩性问题。说单靠token based authentication可以解决可伸缩性问题是过分夸张的。有太多的其他因素是更强大的因素。仅仅因为基于令牌的身份验证是无状态的,并不意味着整个服务器可以是无状态的。
让我们以JWT为例,以为例
JSO
浏览 5提问于2016-01-07得票数 4
回答已采纳
1回答
我在玩Smooch SDK。我的问题是JWT在Smooch iOS中是如何工作的?
目前我有一个应用程序,如果我想使用基于用户id的Smooch,(例如。一个应用程序有50个用户可以和它聊天),我们需要生成50个JWT还是只生成一个JWT?
[Smooch login:self.smoochUserId jwt:@"WHAT IS THIS"];
谢谢
浏览 3提问于2017-11-23得票数 1
回答已采纳
1回答
如我们所知,OpenIDConnect涉及三个令牌:
默认情况下,访问令牌是一个随机的唯一字符串,未使用JWT进行编码。ID令牌使用JWTRefresh令牌编码。
我们通常将ID令牌放在cookie中的httpOnly模式中。
我的问题是,推荐的访问令牌存储在哪里?当然,您需要将它们存储在应用程序端。
浏览 3提问于2021-01-20得票数 3
回答已采纳
1回答
首先,我还是django rest框架jwt的新手,所以如果我错了,请原谅我的愚蠢。
我想知道如何为jwt创建一个注销函数,因为当用户想注销和切换帐户时,他们将需要这个函数。
根据我在许多其他注销帖子中看到的,没有必要使用注销函数,因为令牌不在服务器端保存,因此关闭和打开将导致不得不再次登录。- jwt正在为其使用过期时间,因此如果验证令牌设置为True,则它将在令牌过期时注销。
但是我想要的是像一个记住我的函数,当用户关闭并再次打开时,用户将保持登录状态,因为其中一个建议是将验证令牌转换为false或将过期时间设置为数周。但是,如果令牌到期时间尚未到达,用户如何注销?
由于我使用的是jwt和
浏览 0提问于2017-11-06得票数 2
回答已采纳
我正在学习使用Java和Spring进行的基本身份验证和Jwt身份验证,我想问您基本身份验证是否是基于会话的身份验证?
我知道,在基于会话的身份验证中,当客户端登录时,sessionId存储在客户端浏览器上的cookie中,然后当客户端提出另一个请求时,服务器将sessionId与存储在服务器内存中的数据进行比较。另外,我想问一下,sessionId是如何从客户端浏览器发送到服务器的?它是像令牌一样发送到标头中,还是以何种方式发送?
最后一个问题是服务器如何验证Jwt令牌?我知道,在会话身份验证的情况下,从客户端发送的sessionId将与服务器内存中的数据进行比较。但是,在Jwt身份验证的情
浏览 1提问于2020-01-20得票数 5
回答已采纳
1回答
我已经实现了一个spring boot应用程序,它使用Spring OAuth2进行身份验证和授权。 我正在使用JDBC令牌存储来主要发布给客户端的令牌,用于在应用程序运行时执行自定义声明验证和其他一些用户状态验证。 问题是,由于我使用了传统的JSESSIONID和CSRF令牌,我找不到新的OAuth标准的任何优势,因为在登录后,我会将用户详细信息存储在会话中,并在需要的时候检索它。对于OAuth,我将用户详细信息存储在JWT令牌本身中,每次解码令牌以获取用户信息,而且我还需要访问数据库进行自定义声明验证,例如JTI验证。 每个人都说JWT是用于无状态应用程序的,但是使用JDBC令牌存储时,
浏览 16提问于2020-04-04得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
