腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
在设备之间重用JWT或创建新令牌
jwt
这是一个与jwt的使用相关的架构问题。 当用户登录我的移动应用程序时,我会生成一个jwt。我不知道当同一个用户在多个移动设备上登录时应该遵循什么策略:在所有设备上共享相同的jwt,还是为每个设备登录创建一个新的jwt?
浏览 7
提问于2016-07-22
得票数 0
5
回答
JWT和one(!)每个用户的会话/没有并发会话
session
、
single-sign-on
、
single-page-application
、
jwt
我们当前的应用程序使用HTTP会话,我们希望用JWT替换它。 设置只允许每个用户只进行一次会话。,这意味着: 用户在设备1 处登录 用户登录到设备1(新创建的会话) 用户在设备2 登录 用户登录到设备2(新创建的会话) 用户是而不是在设备1登录(会话被销毁) 这是因为会话id和用户id之间存在服务器端的关系。 使用JWT,我可以想象在用户数据库中有一些计数器,每次登录都会增加计数器,即: 用户在设备1 处登录 JWT令牌签名包含counter+1 (并将新计数器保存到数据库中) 用户在设备2 登录 JWT
浏览 4
提问于2015-02-23
得票数 14
回答已采纳
1
回答
使用风暴路径跟踪来自同一用户的多个登录
rest
、
jwt
、
stormpath
、
multiple-login
我正在开发一个移动应用程序,它使用服务器端的Stormpath进行身份验证和授权。我需要支持同一用户登录多个设备,但我希望能够跟踪它,如果我想限制它。 我的应用程序目前使用Stormpath登录用户,使用电子邮件/密码或MDN/密码,并在成功登录时返回一个JWT令牌,用于访问服务器的API。 我正在考虑以下方法: 在用户帐户中保存会话列表。每次用户登录时,都会添加一个带有device_id和JWT的新条目。当用户注销时,该项将被移除或标记为非活动项。 当用户试图登录另一个设备时,如果我只想限制在一个活动设备上,我会将另一个条目设置为禁用并过期JWT,以便应用程序能够检测到它并再次要求登
浏览 1
提问于2016-09-09
得票数 2
1
回答
是否有可能使用户在其他设备上的JWT失效?
jwt
、
invalidation
我的应用一次只允许用户登录一台设备。我想使用JWT。 是否有可能在我使用的设备之外的其他设备上使其他JWT无效?而无需在DB /缓存中存储额外信息(例如,存储活动用户的JWT)。
浏览 0
提问于2015-10-22
得票数 0
2
回答
使用jwt登录多个设备
node.js
、
express
、
jwt
我正在构建一个应用程序,我希望用户能够从多个设备登录,而无需注销其他设备。 我应该如何实现这个功能? 我使用Jwt令牌进行身份验证,使用MySQL数据库存储用户详细信息。
浏览 8
提问于2022-08-06
得票数 0
回答已采纳
1
回答
如何防止客户端在.net中使用其他jwt令牌?
authentication
、
asp.net-web-api
、
oauth
、
jwt
我正在读关于jwt的书。几天后,我就明白了这个概念。现在,我的问题是,为每个用户创建jwt令牌,让其他用户使用其他令牌。 例如,场景:用户A登录到服务器并获取其jwt令牌,服务器允许它访问资源。 现在,第三方进入并获得用户A的jwt令牌。现在,第三方可以使用此令牌并使用此令牌来使用资源,而无需登录到系统。 如何为uniqe用户在空间上创建jwt令牌?
浏览 2
提问于2016-07-25
得票数 0
2
回答
使用JWT在多个设备上强制用户注销
rest
、
authentication
、
jwt
我们有一个现有的REST API,目前正在使用JWT。 客户端的出现要求用户一次只能使用一台设备。例如,如果用户从iOS设备登录,然后登录到安卓设备,那么iOS设备应该被“强制”注销。 由于我们使用的是JWT,所以除了用户单击注销时的令牌黑名单之外,我们不会跟踪令牌。 我研究了如何“强制”注销用户,似乎我们需要跟踪用户使用的最后一个令牌,然后在检测到新的登录时使其失效。 有没有更干净的/替代的方法来实现上面的目标?
浏览 6
提问于2020-01-09
得票数 0
2
回答
我是否可以创建和存储auth令牌列表,而不是使用JWT和类似的?
database
、
rest
、
authentication
、
jwt
我正在为开发使用NodeJS堆栈创建我的第一个SPA,我已经到了应该设计身份验证和保护应用程序某些部分的地步。 我读过很多关于auth技术的文章,包括JWT、OAuth等,但我仍然没有找到类似于真实世界的例子。 让我们假设我的任务是保护应用程序的某些部分不受公众影响。我的应用程序不是为第三方服务而设计的,所以我认为没有必要使用像Google或Facebook这样的软件。我想使用登录/密码,并使用我自己的数据库服务器存储所有这些数据。 我不明白无状态身份验证的意义。我得出了一个简单的结论,我可以这样设计身份验证: 我将用户登录和密码存储在我的数据库中。 User auth意味着用户输入他
浏览 3
提问于2017-07-26
得票数 1
2
回答
Django REST JWT刷新
django-rest-framework
、
jwt
、
django-rest-framework-jwt
使用JWT实现了Django REST和身份验证。对于JWT令牌,我们必须在它过期之前对其进行刷新。过期后,JWT将不会提供新的令牌。 对于我的移动设备,我需要每10分钟(JWT_EXPIRATION_DELTA)刷新一次令牌。如果用户没有活动超过10分钟,那么我需要要求登录。有没有什么方法可以在JWT令牌过期后刷新令牌。(我们可以将刷新时间限制为2天) 在Mobile中处理这种行为的最好方法是什么? 谢谢。
浏览 1
提问于2017-03-02
得票数 7
回答已采纳
1
回答
无服务器联合应用程序状态
jwt
、
openid-connect
、
serverless
、
serverless-architecture
有没有可能,通过使用主要的OpenID连接/ JWT身份提供者之一(例如,Google Federated Identity)一个简单的web应用程序可以在该用户的作用域中读/写该身份提供者上存储的键值? 例如,我知道通过使用JWT,我可以声明对用户电子邮件的读取权限。但是,有没有一种方法可以持久保存有关该用户的任意信息? 例如:我做了一个页面,用户可以登录到谷歌。登录后,用户可以选择保存喜爱的颜色。当用户从另一个设备登录时,有没有一种方法可以持久保存和检索这个最喜欢的颜色,而不需要将其保存在我自己的数据库中? 我不需要运行和维护后端服务,还能有什么其他的替代方法来实现这样的事情呢?
浏览 4
提问于2020-02-18
得票数 0
1
回答
有一个不会过期的JWT
authentication
、
jwt
我正在努力理解为什么拥有一个不会过期的JWT访问令牌对我的应用程序是有害的。以我编写后端的方式,当JWT进来时,我验证它并提取主题,即用户id。然后,我在数据库中查找这个用户,以获取权限/帐户状态/等等,然后使用它来确定用户是否有访问他们请求的数据或操作的权限。 我不希望用户在登录一次之后(在同一浏览器会话中)再次登录。例如,在这个站点(stackexchange.com)上,我不记得必须再次在当前会话中登录。 因为我正在访问每个相关请求的数据库,所以我觉得JWT上的过期时间不适用。 我哪里出问题了?
浏览 0
提问于2019-10-05
得票数 4
回答已采纳
3
回答
在NodeJS中一次只允许从一个设备登录
node.js
、
json-web-token
我使用JWT进行身份验证。但是,我不希望用户从多个设备登录。我该如何确保这一点? 现在-我所能想到的就是将JWT存储到DB中,然后检查它是否存在。如果它存在的话,它是什么时候产生的。如果时间太长-我们去再生令牌,并传递回第二个设备。
浏览 10
提问于2017-02-03
得票数 6
回答已采纳
1
回答
在LocalStorage中首次登录时存储一个短暂的JWT安全吗?
web-application
、
jwt
、
local-storage
我当时正在阅读这个问题,但仍然对我的用例产生怀疑。 我知道,由于XSS攻击,在本地/会话存储中存储JWT是不安全的。但是,如果JWT只在第一次登录时持续1分钟,怎么办?然后,客户端将使用它获得一个更长+更安全的JWT,以便从那时起继续登录。 我正在使用第三方身份提供程序来处理初始登录。我之所以要这么做,是因为他们返回JWT的API不支持httpOnly (不管出于什么原因)。在从服务器获得一个新的httpOnly cookie之前,我仍然必须暂时将JWT存储在某个地方。或者我应该将它保存在状态(我正在使用React)? 这个方法安全吗?我的理由是,即使他们得到了JWT,它只会持续1分钟才到期。
浏览 0
提问于2020-08-06
得票数 0
3
回答
使用JWT和刷新令牌验证移动应用程序
ruby-on-rails
、
authentication
、
oauth-2.0
、
jwt
、
json-web-token
现在我开始在这件事上大做文章了。在过去的几天里,我做了一些研究,但我似乎不太明白如何实现以下目标: 我目前正在用移动应用程序作为客户端在Rails中构建一个API。移动应用程序可以是iOS,也可以是安卓。现在我在为认证而挣扎。在客户端登录到设备上之后,我发布了一个短期过期的JWT。因此,如果令牌过期,客户端需要重新登录,在我的情况下,这是不可接受的UX。无论如何,我觉得我需要有某种过期,以防止令牌被永远使用,如果它被偷了。 现在,我想知道如何集成刷新令牌。如何确保用户只能通过向此设备发出的有效刷新令牌才能获得新的访问令牌?还是我让事情变得过于复杂,分配一个刷新令牌(可以在alle设备上使用)就
浏览 3
提问于2015-11-13
得票数 2
1
回答
桌面应用程序(c++)和API (php)之间的模式有多安全?
authentication
、
php
、
jwt
、
c++
正如title说的那样,我正在编写一个付费桌面应用程序,它可以实现某些进程的自动化,它间接地需要互联网连接,因为我的应用程序自动化了另一个需要互联网连接的桌面应用程序。没有网页之类的,只有我的桌面应用程序和我的API。 正常工作流 用户打开桌面应用程序:登录提示显示在屏幕上(这是一个简单的界面,用c++编写,然后发布到我的API)。 用户按下“登录”按钮:数据通过POST发送到我的API。 API验证和验证数据,然后生成一个JWT并将其发送给用户。 然后,用户可以随时使用该应用程序:每隔X秒,JWT就会被发送到API中,以查看它是否仍然有效。 用户停止使用应用程序:这可能是因为应用程序崩溃,是
浏览 0
提问于2019-10-17
得票数 1
回答已采纳
1
回答
与php服务器通信的react本机ios的auth0身份验证
php
、
react-native
、
jwt
、
auth0
、
react-native-ios
我正在创建一个反作用本机ios应用程序,它与一个在azure上托管的php web应用程序进行通信。 我是怎么理解的: 用户注册应用程序,服务器与auth0服务器通信,后者将JWT令牌返回给php服务器,将令牌保存到数据库,然后将令牌发送回客户机设备,然后将令牌存储在设备上。 每当与服务器通信时,用户必须将JWT令牌作为头发送。 每当用户注销令牌时,当登录时,必须接收一个新的JWT。 用户可以使用与数据库中的内容相匹配的凭据登录,也可以通过Google或facebook登录。 还是Auth0仅仅是为了与Google这样的企业签约,或者我可以用它登录到我的应用程序,该应用程序
浏览 5
提问于2017-03-08
得票数 0
回答已采纳
1
回答
如何使用谷歌身份从多个设备登录?
google-oauth
、
google-identity
如何使用Google身份平台作为我自己服务的登录/注册系统?具体来说-我如何做到这一点,并支持同一用户从不同的设备登录? 使用web服务,nodejs没有npm模块: passportjs / googleapis /google-auth-库。 我的想法是:用户打开myClientApp/登录页面,点击GoogleLogIn按钮,这将要求他授权我为他的Google帐户的特定范围提供服务。然后获得刷新令牌&访问令牌,并将其保存在DB中,然后使用cookie将刷新令牌发送到客户端。每当我调用自己的服务API时,我都会从cookie发送刷新令牌。只要我有保存在DB中的有效访问令牌,或者刷新
浏览 4
提问于2019-03-29
得票数 1
回答已采纳
2
回答
如何使用JWT处理权限更改
security
、
authentication
、
jwt
通过在令牌本身中包含权限,有望变得更快/更简单。然而,我的问题是:假设用户已经登录,并且正在使用一个JWT,该JWT包含允许他们访问A和B的权限信息。 然后,管理员或其他用户出现,并授予该用户在该用户仍在登录时查看C的权限。但是因为用户仍然在使用旧的JWT,所以他仍然不能访问C。 这里有哪些选项?是否将令牌列入黑名单并强制用户重新登录?或者完全忘记基于令牌的权限?
浏览 0
提问于2017-09-28
得票数 1
2
回答
我的JWT刷新计划安全吗?
authentication
、
mobile
、
oauth
、
token
我计划在我的移动设备登录系统中使用JWT。我找不到真正的标准工作流来刷新JWT令牌,所以我在下面创建了这个工作流。我想使用JWT的原因是出于性能原因。我信任JWT,而不是使用数据库调用来检查用户是否有效。 我有提议的工作流,我想要实现到我的应用程序。这安全吗?有效率?我有什么明显的问题吗?怎样才能作出合理的改善呢? 用户在 中登录 如果本地存储中不存在HMAC签名令牌,则用户将给设备命名。 DeviceName被发送到服务器,并插入到数据库中。 将DeviceName的JWT令牌+ HMAC签名令牌发送回用户。HMAC签名令牌被放置到位,以确保jwt令牌(包含DeviceName)是从最初调用
浏览 0
提问于2015-06-08
得票数 19
回答已采纳
1
回答
如何处理条件呈现SPA页面?
authentication
、
jwt
、
single-page-application
基本上,我有带有JWT认证的SPA应用程序。现在我的问题是,有一个页面有跟随按钮,所以在第一次加载页面时,我需要知道用户是否登录,这样我就可以禁用/启用按钮。 方法1:在页面加载发送访问令牌之前,如果它成功,呈现类似的用户将被登录,如果它失败,呈现类似的用户被注销 方法2:当用户登录时,将状态保持在LocalStorage中,只需检查本地存储和呈现页面。 在LocalStorage中只保留登录用户的状态正确吗?我认为这就是您应该存储只有用户配置文件信息的ID令牌(如果您使用它们)的地方吗? 当然,我将检查每个请求的访问令牌,并且从响应中可以更改LocalStorage中的状态。问题是,在页面的
浏览 1
提问于2022-09-13
得票数 1
回答已采纳
1
回答
我的JWT刷新计划安全吗?
security
、
authentication
、
oauth
、
token
、
jwt
我计划在我的移动设备登录系统中使用JWT。我找不到真正的标准工作流来刷新JWT令牌,所以我在下面创建了这个工作流。我想使用JWT的原因是出于性能原因。我信任JWT,而不是使用数据库调用来检查用户是否有效。 我有提议的工作流,我想要实现到我的应用程序。这安全吗?有效率?我有什么明显的问题吗?怎样才能作出合理的改善呢? 用户登录 如果本地存储中不存在HMAC签名令牌,则用户将给设备命名。 DeviceName被发送到服务器,并插入到数据库中。 将DeviceName的JWT令牌+ HMAC签名令牌发送回用户。HMAC签名令牌被放置到位,以确保jwt令牌(包含DeviceName)是从最
浏览 2
提问于2015-06-08
得票数 1
1
回答
阻塞特定的用户JWT令牌?
session
、
redis
、
jwt
假设一个用户从不同的设备多次登录,然后他们决定要注销设备(一个),我们没有办法删除提供给该设备的JWT,对吗? 这里是我已经实现的,我不知道这是其他网站的做法,还是它是一种不错的方式。 用户登录 我创建了一个redis会话令牌,它与userId +设备名相关联。 我将此redis令牌存储为JWT的主题。 我传回JWT。 现在,用户拥有了一个JWT,现在他们可以访问受保护的端点了。假设用户希望删除这个会话,下面是我所做的工作。 用户获取特定userId的* redis会话令牌(当然,它们需要一个有效的jwt来获取这些数据) 他们选择要销毁的redis会话令牌。
浏览 3
提问于2016-06-20
得票数 2
回答已采纳
1
回答
即使用户使用back按钮(Node.js),也可以重定向
node.js
、
express
、
jwt
我用jwt做了一个登录系统,基本上,如果登录成功的话,用户会重定向到主页( have /)。之后,即使用户在url中键入(主页/登录),他们也会被重定向回主页,因为(而且只要)他们有jwt令牌。 我有以下代码: app.get('/login', (req, res) => { const token = req.cookies.jwt if(token) { res.redirect('/') } else { res.render('login') } }) 但是,如果用户通过“后退按钮”进入(主页/登录
浏览 3
提问于2022-05-25
得票数 0
回答已采纳
3
回答
如果生成新的JWT,如何过期JWT
php
、
authentication
、
jwt
我是JWT实现中的新手,出现了一个问题。 我在php中使用JWT构建了一个用户登录身份验证。在用户登录时,如果用户的凭证是有效的,那么登录API的响应就是作为cookie存储的令牌,而不是有$_SESSION变量,而是通过调用API对令牌进行解码并在web应用程序的每个页面上检索用户数据来获得用户的数据。 如果用户想更新他的个人详细信息(姓名、电子邮件等),我希望基于新的详细信息生成一个新的JWT,并强制以前的过期或以某种方式使其无效。因此,在以后的API调用中,前面的令牌必须无效。我想在数据库上存储令牌,但我认为这是不对的。 我怎样才能让它起作用?
浏览 0
提问于2019-10-10
得票数 0
回答已采纳
1
回答
短命Json Web令牌(JWT的理解问题)
authentication
、
rest
、
jwt
我考虑在REST中使用JWT。用户应该使用basic auth在/api/login登录,并检索用于进一步请求的JWT。一开始,它的计划是有一个非常长的生命时间的令牌。 现在有两个问题: 1. JWT应该被列入黑名单/无效。2.用户的角色可能会改变。令牌不应发送旧角色。 因此,解决方案是使用提前过期的JWT。但是说真的,如果我每次都要在/api/login上登录,为什么不使用基本的auth呢? 当然,我也可以为设备编写一个后台服务,它每隔几分钟使用旧令牌刷新令牌。但是,如果休息服务或客户的时间减少了一小时呢?每个人都会被注销。另外,我不想要一个总是刷新令牌的后台作业,即使应用程序是分离的。 因
浏览 0
提问于2017-07-23
得票数 1
2
回答
JWT令牌登录和注销
authentication
、
http
、
rest
、
token
、
api
嗨,我正在创建使用REST端点与服务器端通信的移动本机应用程序。我以前有开发本机客户端的经验,但在存储用户信息的同一表中,我有一个简单的令牌(随机生成的字符串)存储在DB中。因此,它就像浏览器中使用的会话,但是每个请求在头中都有令牌,而不是cookie。 最近,我展示了JWT令牌。这似乎是保护私有端点的好方法。您可以从移动客户端请求令牌,只要您通过+登录并得到响应生成的令牌。但重要的是,此令牌不存储在服务器上的任何位置,服务器使用秘密字验证令牌,这对于服务器来说是私有的,就像私钥一样。对于安全端点来说,这是可以的,但是如果我需要用户会话,应该做些什么,例如Facebook、Amazon、Ali
浏览 0
提问于2015-10-02
得票数 13
1
回答
拉勒维尔JWT 8月
php
、
laravel
、
jwt
、
laravel-5.7
、
jwt-auth
我在Laravel作为API后端工作,并为token实现了JWT。 在研究JWT工作流之后,我理解的是: 1) JWT令牌的终止日期最少(TTL: 30分钟)。 2) JWT刷新令牌有效期不应大于1周。 ,我所理解的流程是: 1)用户登录并接收JWT令牌。 2)对于每个请求,它都应该向系统提供JWT令牌。 3)如果JWT令牌过期,系统将检查JWT令牌并向其提供刷新令牌。 我不明白的是: 1)如果刷新令牌过期了,该怎么办?用户是否再次登录? 2)移动设备是否应该替换过期的令牌来刷新令牌,并在每次向系统请求时提供当前保存的刷新令牌? 3)如果未经授权的人拥有过期的令牌,他/她仍然可以访问此人的信息
浏览 6
提问于2019-11-22
得票数 1
1
回答
允许用户在节点js中一次从两台设备登录
node.js
、
mongodb
、
mongoose
、
jwt
我已经创建了一个注册应用程序接口(POST),它从JWT生成一个令牌,然后点击登录应用程序接口,我和能够登录在n个设备在一个time.But我想设置设备限制,用户可以登录在上面的时间为2。我使用mongodb数据库,只使用用户的_id创建令牌,而不是时间。
浏览 1
提问于2020-06-11
得票数 0
1
回答
Android -如何从多个设备中检测同一用户?
android
、
firebase
、
firebase-cloud-messaging
我正在开发一个将用户创建的数据发送到服务器的应用程序。 当同一个用户在不同的设备()上使用该应用程序时,不需要(我的应用程序)请求访问他的Google帐户,需要额外的权限,或者要求他创建自定义的登录凭据,他能识别这个用户吗?(这一点很重要,因为我的应用程序需要为“匿名”用户工作。) 我的应用程序使用推送通知,对于任何给定的用户,我都知道FireBase生成的令牌ID对于应用程序的每个设备安装都可能是相同的。因此,我正在考虑使用这些令牌ID来跨多个设备识别同一个用户。然而,我不确定这种方法会有多可靠--或者是否有更好的方法? 注:我找到了 (特别是部分),但没有帮助。
浏览 3
提问于2016-11-30
得票数 1
1
回答
单页web应用程序使用单会话令牌与Oauth的缺点
authentication
、
session
、
oauth-2.0
、
jwt
我正在构建一个单页面的web应用程序,并且只想通过REST与后端交互。我阅读了和其他一些关于API最佳实践的建议。 我需要以下身份验证功能: 允许每个用户同时(但不链接)多个会话(即可以同时从多个设备登录和退出) 当用户从一个设备注销时,该会话不再处于活动状态,无法重用,但其他设备上的用户其他会话不会受到影响。 可以打开页面的多个浏览器选项卡,并且会话在它们之间共享(不需要在每个选项卡上登录) 支持Google和facebook认证按钮(允许用户注册并使用这些服务进行身份验证) 简单地向每个经过身份验证的会话发出一个每个会话令牌(类似于PHP的会话it )、在应用程序的
浏览 3
提问于2019-12-17
得票数 0
1
回答
与Apple安全公司签到链接帐户
security
、
jwt
、
sign-in-with-apple
假设您在web平台上有一个现有的用户管理/数据库。为了更快地登录和注册过程,与苹果公司的登录应该集成在一起--尽管它总是会创建一个与电子邮件地址链接的常规帐户(只是没有常规密码)。使用苹果提供的(验证的) JWT认证安全吗? 登录(现有帐户)将采取以下步骤: 用户在应用程序中点击“与苹果登录” 从Apple生成的JWT被发送到身份验证服务器 服务器使用Apple的API端点提供的公钥验证JWT 服务器从(验证的) JWT中提取电子邮件,如果存在该电子邮件的用户,则该用户将被登录(API返回会话的内部访问/刷新令牌)
浏览 2
提问于2021-02-10
得票数 0
回答已采纳
1
回答
是否通过JWT令牌识别用户?
php
、
security
、
jwt
、
token
、
privacy
我想使用JWT令牌来确保请求是由Android应用程序发送的。因此,我在登录到服务器(PHP)时发送一个POST请求,服务器返回一个存储在Android设备上的JWT令牌。对于与API通信的其余部分,我将发送带有请求的JWT令牌,以确保API请求被允许。然而,我不确定如何识别用户。 识别用户的推荐方式是什么?我不确定将用户id作为有效负载存储在JWT令牌中是否合适。关于隐私问题,什么是最好的方式?
浏览 0
提问于2021-10-31
得票数 0
2
回答
Angularjs和Laravel的注销会话过期
angularjs
、
laravel
、
ionic
、
jwt
我用laravel 5构建了我的app,我的web应用程序和移动应用程序都使用相同的app。在web应用程序上,默认的过期时间为60分钟,在此之后用户必须重新登录。然而,在移动设备上,我不希望,没有自动会话到期的移动,用户只能注销后,他们点击了应用程序上的注销按钮。 我使用带有satellizer的JWT进行身份验证,我想知道如何实现这一点。
浏览 0
提问于2016-01-14
得票数 0
1
回答
防止jwt对客户端的重放攻击。
api
、
jwt
我已经读过关于使用JWT和许多资源(如jwt.io )防止重放攻击的好答案。 结论是我需要使用jti声明。来自:我能阻止我签署的JWTs的重播攻击吗? 我现在的模式很简单: 用户登录。 服务器使用JWT进行应答。 客户端检查它是否有效并存储它。 客户端发送JWT。 如果它是有效的,服务器将使用新的JWT回答。 等30秒 回到第三步。 因此,我开始使用jti,在步骤4中,它将使用步骤2中存储在db上的jti,并为下一个请求创建一个新的jti。 虽然这可以防止服务器端的重放攻击,但对于客户端则不然。我发现的缺陷是:如果用户重定向流量并总是回答相同的jwt,客户端会认为“嗨,这个jwt是有效的”。
浏览 0
提问于2020-01-14
得票数 1
回答已采纳
1
回答
如何使这个盐和散列计划更安全?
security
、
hash
、
salt
嗨,我只是计划我的服务器登录安全的移动应用程序,并做了一个简单的计划笔记。它看上去安全吗?它能以任何方式得到改进吗?提前谢谢。 客户端首次登录 从客户端获取设备标识并发送到服务器。 使用新的用户ID在服务器和用户帐户上创建一个MD5盐。 将salt与设备ID和用户ID连接起来,以创建咸密码。 创建咸密码的MD5哈希,并将哈希密码存储在数据库中。 将用户ID和盐分返回给客户端。 客户端再次登录或发出通用请求 使用从服务器接收到的salt将请求发送到由客户端生成的MD5散列,并与设备ID和用户ID连接。还以纯文本发送设备ID和用户ID。 验证存储在数据库中的用户
浏览 0
提问于2019-04-12
得票数 0
回答已采纳
1
回答
如何检查用户是否已经分配了JWT令牌?
jwt
我是JWT(Json web令牌)的新手。我在JWT中有一个关于用令牌(已经登录一次)和没有out令牌(第一次登录)来识别用户的问题。 如果每次登录时只传递用户名和密码,服务器会为我创建新的JWT吗?如果这不是真的,那么如果某个用户访问了他/她的用户名密码,并尝试使用不同的PC或浏览器登录,就容易受到用户的攻击。(因为JWT总是存储在cookie或本地存储上)
浏览 2
提问于2016-07-28
得票数 0
回答已采纳
2
回答
Angular JWT和登录后的用户信息存储
javascript
、
ajax
、
angularjs
、
local-storage
、
jwt
在成功登录后,将除JWT之外的任何其他用户信息保存在本地存储或cookie中有多好的做法?(用户配置文件对象已在jwt有效载荷子部分中保存和加密。)我需要用户配置文件对象准备好在角度初始化任何其他(获取用户角色,登录状态等)。 如果我只在客户端保存JWT,我需要一个额外的ajax请求,以便在应用加载之前从服务器端的JWT解码中获取用户信息,因为令牌秘密在服务器上(仅在整个页面刷新之后)。Token是有效的或无效的,因此在这种情况下处理错误要容易得多。 如果我将JWT和用户配置文件对象作为字符串保存在客户端的存储中,那么这是冗余的,用户可以手动更改对象和应用程序。 我更喜欢在成功登录后只将JWT
浏览 3
提问于2015-01-03
得票数 3
1
回答
React本机: Auth.signIn()返回什么?
android
、
reactjs
、
amazon-web-services
、
react-native
、
aws-amplify
我正在开发使用react本机与Amazon作为后端。我也在使用amplify库。 对于登录,我使用以下调用: const user = await Auth.signIn(...) 我的相关的问题: 我在user变量中得到一个很大的JSON。我相信是AWS credential 上面的signIn()调用不返回令牌,而是返回AWS凭据。是吗?还请参阅帖子:- 上面的帖子提到: 在成功地对用户进行身份验证之后,Amazon发出JSON网络令牌(JWT),您可以使用这些令牌来保护和授权对您自己的API的访问,或者交换AWS凭据。 上述说法是什么意思?Auth.
浏览 1
提问于2021-06-18
得票数 1
回答已采纳
2
回答
在iOS10和3中推动问题
ios
、
swift
当我的应用程序在前台并收到推送通知时,它会在屏幕上显示通知。过了一段时间(2-3秒),如果用户不点击通知,那么我的问题是,如果用户不点击通知,我如何处理推送通知。当应用程序处于前台时,,ios 10.0* 例如,如果用户在另一个设备上登录,我将在先前登录的设备上收到通知,如果app在前台,则使用时将看到在另一个设备上登录的通知,如果用户点击通知,它将移动到登录屏幕,但如果用户不点击通知怎么办?
浏览 0
提问于2017-07-13
得票数 0
2
回答
使用JWT管理多设备节点js的用户会话
node.js
、
session
、
jwt
我正在创建一个应用程序,在这个应用程序中我使用JWT来维护会话。当任何新用户注册时,我将向用户提供一个JWT令牌,并将其存储在我的数据库和用户浏览器中。当用户注销时,我将从浏览器和我的数据库中删除该令牌。 但是我希望,如果用户是从多个设备登录的,那么它将从一个设备登录,而不是从其他设备登录。我怎样才能做到这一点?
浏览 5
提问于2016-08-22
得票数 4
回答已采纳
1
回答
使用.NET核心标识和需要刷新令牌
asp.net-identity
、
identityserver4
我刚从一家新公司开始,负责在.NET/ tasked应用程序上修复我们当前的身份验证过程。目前,我们使用.NEt核心标识进行登录,登录令牌在24小时后过期。 我的任务是更改auth : 1)每次用户发送请求时检查令牌(我认为通过使用JWT刷新令牌),2)令牌应该在20分钟的不活动后过期,并提示用户再次登录。 所有这些都能通过身份服务器完成吗?
浏览 1
提问于2020-01-17
得票数 0
回答已采纳
1
回答
如何使用JWT令牌管理多设备同时登录?
authentication
、
jwt
、
authorization
、
nestjs
、
passport-jwt
我的查询是关于使用JWT令牌同时支持同一用户的多设备登录。我使用NestJS作为我的后端。 用户表: userid、用户名、密码(包含散列密码)、名称、refreshToken(包含散列刷新令牌) 当用户执行/api/登录调用时,在具有有效用户名和密码的情况下,访问令牌和刷新令牌将使用jwt护照库生成。刷新令牌被散列化并存储在该特定用户的user表的refresh列中,访问令牌和刷新令牌通过响应发送到客户端。 在/api/刷新调用期间,用户发送的刷新令牌将使用用户表中存在的散列刷新令牌进行验证,然后生成一个新的访问令牌和一个新的刷新令牌。新的刷新令牌将在同一用户行的user表refreshTo
浏览 19
提问于2022-06-06
得票数 2
回答已采纳
1
回答
内部通信时的Microservices会话数据
authentication
、
microservices
、
services
、
authorization
我不确定标题是否正确,所以请告诉我你是否想要一个更好的标题。 设想如下: 我们有一个API网关,它向我们的客户端(web和移动应用程序)公开REST。 我们有一个“会话”微服务,可以跟踪登录用户。当用户登录时,新会话存储在此微服务中,对于每个需要身份验证的请求,API GW首先与此微服务通信以验证会话令牌并获取会话相关信息(用户id、权限列表等)。 验证会话后的API对满足请求所需的其他微服务执行一些调用,但其中一些调用需要登录的用户ID。 一个简单的例子是博客网站,登录用户希望在博客中添加一篇文章。 使用他的新博客文章和会话令牌(唯一的会话ID)向/posts发送一篇文章 请求到达API。
浏览 0
提问于2017-09-02
得票数 1
1
回答
在iOS中使用解析时的自动注销功能
ios
、
objective-c
、
iphone
、
parse-platform
、
ios8
我正在使用Parse.com在iOS中创建登录和注册页面。现在,如果用户在一个设备上登录,而不是在第一个登录的设备上登录,则应该注销。 如何在iOS objective C中实现这一点?
浏览 1
提问于2015-11-23
得票数 0
3
回答
如何在没有过期时间的情况下使JWT令牌无效
javascript
、
node.js
、
authentication
、
token
、
jwt
我使用JWT创建一个node.js后端应用程序。对我来说,要求很简单,授权令牌不应该有任何过期时间。但是,当用户更改其密码时,我在使JWT无效时遇到了问题。 当用户更改其密码时,我将创建一个新的JWT令牌,并删除旧的令牌,但用户仍然可以使用其旧的JWT令牌(从其他登录的设备),并且可以访问应用程序。 那么,谁能告诉我如何避免这种情况?
浏览 5
提问于2016-05-26
得票数 7
回答已采纳
3
回答
为什么我的客户不应该只发送用户的用户名和密码与每一个请求?
password-management
、
session-management
我有一个PHP服务器和一个Android/iOS客户端,所有通信都使用SSL。 PHP服务器是一个JSON,包含2个公共函数(注册、登录)和许多私有函数(这些函数要求用户“登录”)。 我经历了几次迭代,这是当前成为“登录”的方法: 用户使用用户名和密码向服务器发送登录请求。 服务器试图使用存储在数据库中的内容验证用户名和密码(在存储密码时使用password_hash(),在尝试身份验证时使用password_verify(),对输入数据进行验证和净化等等)。 如果对用户名和密码进行了身份验证,则向用户提供一个JWT,该JWT将在1分钟后过期。 JWT包含:过期时间、用户名和用户类型。 所有私
浏览 0
提问于2018-04-27
得票数 4
回答已采纳
1
回答
我们可以使用JWT进行会话管理吗?
node.js
、
reactjs
、
express
、
jwt
、
express-jwt
在我自己的应用程序中介绍了JWT之后。我正面临着一些问题,可能是我做错了。请给我建议最好的实施方法。 技术栈:(MERN) MongoDB Expressjs React . 成功登录后,我将在其中添加"user-id“,然后返回到UI层,从而创建一个新的JWT令牌。在UI结束时,我将该令牌存储在会话存储中。此令牌用于所有对服务器的进一步请求。在进入控制器之前,我将使用JWT验证在中间件中检查令牌。如果成功验证,next()将返回一个带有无效令牌的错误。 立即发布准确信息: 向用户1注册 使用用户1登录 成功登录后,从会话存储复制令牌。 然后注销用户1 向用户2注册
浏览 3
提问于2018-03-24
得票数 0
1
回答
在应用程序购买中使用创建ios应用程序时,我有一个问题
ios
、
in-app-purchase
众所周知,一旦我们用苹果id从设备上购买了苹果订阅计划,如果使用相同的苹果id登录,在其他设备上也会恢复同样的计划。 但在这里,我们需要,每次用户将登录到不同的设备与相同的苹果id或不同的苹果Id,我们想要的用户购买订阅计划。例如,如果用户购买了2个订阅,那么他将能够在两个不同的设备上使用app,因此我们创建了多个订阅产品。 有人可以帮助我们如何为相同的功能创建多个产品,以便苹果可以批准它。
浏览 2
提问于2018-09-11
得票数 0
1
回答
用JWT保护SPA的最佳实践
security
、
cookies
、
jwt
背景 很抱歉这个问题有点开放,但我只是想了解一下这个问题是如何运作的,而且我对这个领域还很陌生。 我正在构建一个由(阿波罗)服务器支持的SPA。这个问题与使用JWT Bearer令牌的传统身份验证有关。我假设服务器有一个有效的TLS证书。 问题 我将从写我理解的东西开始,如果我有任何错误,请纠正我。干杯! 用户注册。我们向SPA发送带有一些元数据(例如exp)的访问令牌,并将其存储在httpOnly (防止XSS)、SameSite=strict (防止CSRF)、secure (防止MITM攻击) cookie中。然后,在不需要查询数据库的情况下,将每个身份验证请求一起发送,如果我们
浏览 0
提问于2019-09-15
得票数 4
回答已采纳
2
回答
以后应该存储哪些JWT令牌以供使用?
asp.net-mvc
、
authentication
、
jwt
、
amazon-cognito
、
jwt-auth
我正在查看已实现的用于用户登录的认知功能,并希望更好地理解验证JWT的过程。 所讨论的应用程序是在asp.net 4.5MVC上,而与.NET核心无关。我能在网上找到的关于AWS的唯一信息是关于.NET核心的。 我理解每种令牌类型的含义,如这里所记录的: 我还理解验证JWT:所需的步骤。 我的问题是,哪个JWT需要验证,在什么阶段? 例1. 用户登录后,一旦登录,就会使用访问、ID和刷新令牌返回它们。 是否需要在此时对所有令牌进行验证,还是只验证访问令牌? 刷新令牌是否仅在尝试使用它之前进行验证(以获得新的访问和ID令牌)? 或者是否应该在任何授权的内容请求中验证所有令牌? ,哪些令牌应该存储
浏览 5
提问于2020-01-17
得票数 5
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
API接口JWT方式的Token认证(上),服务器(Laravel)的实现
一步步带你了解前后端分离利器之JWT
「JWT」,你必须了解的认证登录方案
八幅漫画理解使用 JSON Web Token 设计单点登录系统
JWT的那些事儿
热门
标签
更多标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
活动推荐
运营活动
广告
关闭
领券