在JWT令牌中存储用户权限的最佳实践是什么?
JWT令牌是一种用于身份验证和授权的开放标准,它可以在不同的应用之间安全地传输信息。在JWT令牌中存储用户权限的最佳实践如下:
- 将用户权限作为JWT令牌的声明(claim)之一。JWT令牌的声明是一组键值对,可以包含一些关于用户、权限和其他相关信息的数据。可以使用自定义声明来存储用户的权限信息,例如"permissions"。
- 在JWT令牌中使用RBAC(Role-Based Access Control)模型来管理用户权限。RBAC是一种常见的权限管理模型,通过定义角色和权限的关系来控制用户对资源的访问。在JWT令牌的权限声明中,可以将用户的角色或者权限列表作为值,例如"admin"、["read", "write"]等。
- 使用最小权限原则,仅将必要的权限存储在JWT令牌中。JWT令牌是在客户端和服务器之间传输的,因此存储在令牌中的信息可能会被篡改或者泄露。为了提高安全性,应该避免在JWT令牌中存储敏感信息和不必要的权限。
- 使用加密算法对JWT令牌进行签名,确保令牌的完整性和真实性。JWT令牌通常使用对称或者非对称加密算法进行签名,以防止篡改和伪造。可以使用常见的加密算法如HMAC、RSA等来对JWT令牌进行签名。
- 在服务器端验证JWT令牌,并解析其中的权限信息。服务器在接收到JWT令牌后,需要进行签名验证和解析操作,以确保令牌的合法性和真实性。在解析JWT令牌后,可以获取其中的权限信息并进行相应的权限验证和授权操作。
推荐的腾讯云相关产品:腾讯云密钥管理系统(Cloud Key Management,CKMS)。 腾讯云产品介绍链接地址:https://cloud.tencent.com/product/ckms
相关·内容
1回答
我有一个带有许多控制器的web api。有了这些控制器,我定义了很多角色,并装饰了控制器/函数。为了访问api,我使用了jwt。 我尝试将我的角色写入jwt like键值中。这可以很好地工作,但是如果我在jwt中设置了许多角色,那么令牌就会变得非常大。我在网上搜索了一些解决方案,比如中间件,每次请求被触发时,我都会为用户获取角色。我发现的第二个解决方案是为角色创建枚举,并且不将名称保存在jwt中,而是将数字保存在-> jwt get中。我的问题是,这感觉不像是正确的方式。我使用.net核心和身份框架。解决此问题的最佳实践是什么?
浏览 75提问于2019-07-02得票数 0
回答已采纳
在Authorization headers中包含有关用户的详细信息的最佳实践是什么?JWT应该包括用户的详细信息,如姓名、手机号码和电子邮件,还是应该向后端服务查询这些详细信息? 在决定JWT的有效载荷中应该包含哪些细节之前,应该考虑哪些因素?
浏览 16提问于2019-02-01得票数 0
1回答
我正在用jax-rs在java中实现一个简单的Rest-API。我使用JWT和ContainerRequestFilter来验证用户是否已登录。
现在我想要能够处理不同的角色。是否可以将用户角色存储在JWT (索赔)中,并完全信任它提供对端点的访问权?
如果不是,实现这一目标的最佳方法是什么?
谢谢你的帮助
浏览 2提问于2016-08-08得票数 0
回答已采纳
我们的系统架构就像管理员可以在用户级别上分配权限一样。我们使用JWT令牌进行授权,之前我们使用角色,角色被添加到服务器端的有效负载中,我们在不访问数据库的情况下检查该角色并相应地允许/不允许。但是,当我们在JWT令牌中添加权限时,它的有效负载太重,会影响网络流量。所以我的问题是,在JWT令牌中处理用户基本权限的最佳实践是什么。
浏览 123提问于2021-10-08得票数 0
回答已采纳
在单个拦截器中处理所有操作(发送Jwt令牌、缓存、加载器)是最佳实践吗?如果不是,原因是什么?
浏览 0提问于2019-11-15得票数 0
1回答
将资源级权限编码到JWT access_token的规范方法是什么?或者换句话说,如何对访问其他人的资源进行最佳编码?
是这样的吗?
{
scopes: {
me: ['user', 'repo'], // My user
repo123: ['repo'], // Someone else's repo
org541: ['admin', 'repo'], // My org
org206: ['repo:read']
浏览 4提问于2017-08-02得票数 2
回答已采纳
我正在设计一套微服务的用户管理,api网关,购物车和结账,促销等(电子商务服务)。计划使用jwt令牌管理身份验证和授权。哪个服务是保存授权服务器的最佳位置?我已经参考了一些设计,它在应用程序接口网关上找到,但我需要一个单独的用户管理服务和用户表在这里维护(其他服务,如购物车结账等将是资源服务器)授权类型: client_credentials和密码是必需的。有没有我可以参考的现有开源项目?有没有关于最佳实践的文档?
浏览 33提问于2020-09-21得票数 1
回答已采纳
1回答
我在我的应用程序中使用JWT实现了JWT 2.0,并且很难决定将什么设置为我的OAuth声明。用户将通过我的身份验证服务器“登录”到我的客户端,以访问我的API (资源)服务器。我希望我的令牌只对特定的客户端和特定的API有效。
从我的客户端登录时,我在请求中不包含client_id,但是在 中,aud设置为client_id。我倾向于在登录请求中包含一个customer audience_id字段,然后将令牌中的aud设置为client_id和audience_id的数组,但这似乎意味着该令牌对这两个audiences都有效,这使我认为我应该添加一个名为client的自定义声明
浏览 3提问于2015-08-14得票数 10
回答已采纳
1回答
REST授权
、、、、
假设您有一个REST,您希望使用它作为React应用程序的后端。应用程序支持用户登录。您可以使用JWT授权使REST无状态。现在我遇到的问题是,JWT在X分钟后就过期了。现在,我的用户必须再次执行登录,以便他可以浏览应用程序。
我通过使用刷新令牌找到了一个可能的解决方案。在上一个访问令牌过期后,这些用户应该从REST中获得另一个访问令牌。但是,刷新令牌也有过期日期。因此,我发现的下一个选项是使用一些DB (例如Redis)来存储黑名单中的令牌。但到了最后,这不再是无国籍的了。在这种情况下使用黑名单有什么意义,为什么不使用会话呢?
在堆栈溢出或博客帖子等方面也有很多类似的问题。但是通常人们会说R
浏览 0提问于2022-12-20得票数 4
回答已采纳
2回答
通过在令牌本身中包含权限,有望变得更快/更简单。然而,我的问题是:假设用户已经登录,并且正在使用一个JWT,该JWT包含允许他们访问A和B的权限信息。
然后,管理员或其他用户出现,并授予该用户在该用户仍在登录时查看C的权限。但是因为用户仍然在使用旧的JWT,所以他仍然不能访问C。
这里有哪些选项?是否将令牌列入黑名单并强制用户重新登录?或者完全忘记基于令牌的权限?
浏览 0提问于2017-09-28得票数 1
我有一个标记的后备列表(JWT)存储在Redis中,并且希望我的网站的用户能够以RESTful的方式将他们的令牌黑名单。
我可以:
使用DELETE方法构建路由/sessions/<token>
使用DELETE方法和请求正文中发送的令牌构建路由/sessions/。
第一种解决方案很简单,但是令牌存储在服务器日志和用户浏览器的历史记录中。
第二种解决方案似乎更好,但我不确定我是否会通过向主体发送删除请求来破坏HTTP的幂等性原则。
这个案子的最佳做法是什么?
浏览 0提问于2018-08-17得票数 4
回答已采纳
1回答
我使用JWT作为我的Node+Express API的路由保护;我通常将用户的配置文件信息存储在jwt令牌中,除非是粒状的PII。但我想知道的最佳实践是什么。
I有以下用户模式(猫鼬):
USER {
_id: ObjectID,
userName: string,
img: string,
email: string,
role: string
}
为了避免不必要的散列开销,我可能不想将img抛出到JWT有效负载中,但是我可以在JWT有效负载中添加哪些其他信息/属性呢?
--大型JWT是否存在性能限制因素?
我见过一些人只使用_id和用户名属性,但我希望有一个标准,我坚持,以保持一
浏览 2提问于2020-07-19得票数 7
回答已采纳
5回答
JWT刷新令牌流
、、、
我正在构建一个移动应用程序,并使用JWT进行身份验证。
这样做的最佳方法似乎是将JWT访问令牌与刷新令牌配对,以便我可以任意频繁地将访问令牌过期。
刷新令牌是什么样子的?是随机字符串吗?那串加密了吗?是另一个JWT吗?
刷新令牌将存储在用户模型上的数据库中以供访问,对吗?在这种情况下它似乎应该被加密
我是否会在用户登录后将刷新令牌发回,然后让客户端访问一个单独的路由来检索访问令牌?
浏览 3提问于2014-12-31得票数 267
回答已采纳
2回答
使JWT在权限上无效
、、、、
人们通常在JWT中存储权限吗?我见过可能有admin: true或scopes: ['add_foo', 'delete_foo', 'read_foo']的例子。这似乎还不错,如果有大量的权限/作用域,JWT可能会变得很大。它看起来非常有用,因为只要能够验证JWT,就不需要访问DB或缓存来获得用户权限。
不过,我的主要问题是,在发生权限更改时,这些参数将如何失效。
例如,sys admin Joe撤销用户Bob的'add_foo‘和'delete_foo’权限,但保留'read_foo‘权限。在这个场景中,用户Bob不应
浏览 2提问于2017-03-07得票数 0
如果我理解最佳实践,JWT通常有一个短暂的过期日期(大约15分钟)。因此,如果我不希望我的用户每15分钟登录一次,我应该每15分钟刷新一次令牌。
我需要保持一个有效的会议7天(UX的观点),所以我有两个解决方案:
使用长寿的json网络令牌(1周)-糟糕的做法?
在旧的json网络令牌过期后获得一个新的json web令牌(JWT 15分钟,允许在1周内刷新)
我要强制使用HTTPS。
JWT标准没有提到刷新令牌。刷新过期的令牌是一个好策略吗?
浏览 0提问于2016-04-03得票数 87
回答已采纳
1回答
我正在构建一个内部网web应用程序,由一个棱角前端和一个Node.JS后端组成。应用程序需要使用公司Active进行身份验证和授权。
我正在考虑如何以一种安全的方式最好地实现这一点。我计划使用与AD进行实际通信,以便在用户登录时进行身份验证,并检查安全组成员是否存在某些受限操作等。
但是,我不太确定授权我的后端端点的最佳方法是什么。AD模块不提供任何令牌/票证,即使我认为Kerberos用于实际的身份验证过程。在我开发的其他经过身份验证的应用程序中,我在用户登录时生成了一个jsonwebtoken,然后在每个后端路由中传递并验证了该令牌,这是否也是针对AD进行身份验证的一个好主意?
编辑:问题
浏览 4提问于2015-05-27得票数 12
回答已采纳
1回答
我们的主要产品是公共API。我们使用IdentityServer4对用户进行身份验证和授权。现在,我正在和我的队友们争论信息的数量和类型,这些信息可以被标记在声明中。例如,我们通常在声明中添加用户标识符和用户组织标识符。此外,我们还添加了用户的配置,例如
为用户提供服务的服务器URL
用户的内部标识符
用户的设备标识符--这些用户的配置属性是在授权和生成JWT令牌时从不同的内部服务和数据库中请求的。
有一个选项--只保留JWT令牌中的用户标识符,并请求API方法中的所有配置属性。从我的观点来看,在声明中保持配置的主要优点是减少对其他服务和数据库的请求。
也许,关于我的问题,
浏览 0提问于2022-01-24得票数 2
回答已采纳
2回答
我希望使用基于令牌的身份验证的移动应用程序,使用户登录,只要他们还没有注销。我的方法是在用户登录/注册时创建一个JWT刷新令牌;此令牌永不过期,并继续刷新20分钟的访问令牌。
当他们注销时,问题就出现了。我已经阅读过这样做的最佳方法,那就是在Redis上将JWT列入黑名单,以存储已撤销的密钥。但是,由于JWT永远不会过期,所以记录永远不能从Redis中删除,并且可以开始占用我大量的内存。
我应该为此担心吗,还是说在这方面,Redis的记忆是有效的?是否有更好的方法可以在不过期的情况下撤销JWT?
浏览 3提问于2018-11-10得票数 1
回答已采纳
1回答
目前正在进行一些研究,以建立一个具有oauth (jwt token)安全性的(azure) api网关。
例如,外部合作伙伴/应用程序向网关上发布的api端点发送请求,在报头中包含有效的JWT-token,该报头由网关根据AzureAD进行验证。验证后,请求被路由到后端服务。这里没有问题。
我的问题是,外部应用程序获取JWT-token (用于api调用)的最佳实践是什么?显然,它可以向AzureAD发送一个带有clientid+secret的请求,以获取有效的JWT令牌。但要做到这一点,它必须直接调用我的内部AzureAD?这是做这件事的方法吗?
或者我是否应该在我的api网关上公开一个&
浏览 12提问于2021-09-10得票数 0
2回答
我正在为一个移动应用程序构建一个REST后端。在我们的设计选择中,我们决定让OAuth2提供者处理登录安全性;但是,我不确定访问令牌的最佳实践是什么,这是我从OAuth2提供者那里获得的。
情况是,当用户登录时,我会从OAuth2提供程序获得一个访问令牌。每次移动应用程序向我的后端发出请求时,我都需要使用这个令牌,这样我就可以针对OAuth2提供者验证令牌是否仍然有效。
我知道我将创建一个JWT并将其交给移动应用程序,它将在每次发出请求时使用该应用程序。现在,我的问题是,是将从OAuth2提供程序获得的访问令牌作为声明存储在JWT中,还是将其存储在数据库中,并将其与用户ID连接,然后将其存储在
浏览 0提问于2016-02-10得票数 20
1回答
我正在创建一种“社交网络”。现在,我正在创建身份验证部分。今天,我学习了JSON Web令牌。
1)我读到JWT是可以安全使用的,因为它们是用密钥签名的。但后来我在网上找到了一些工具,比如。我尝试使用firebase/ PHP -jwt用php构建一些JWT令牌。像jwt.io这样的工具可以提取我放在JWT中的数据(比如用户ID)。这怎么可能是安全的?难道不能有人使用旧的JWT创建一个新的JWT,但使用不同的用户ID吗?
例如:我创建了以下令牌:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJNeUFQIiwiaWF0IjoxNTE2NTYzM
浏览 0提问于2018-01-22得票数 0
像“电报”这样的应用程序有一个“活动会话”功能,在那里你可以看到和杀死当前用户的会话。在使用会话和cookie存储用户会话时,创建类似的功能不是问题,但是如何使用jwt来实现呢?
服务器不存储任何有关jwt的信息,因此甚至无法获取活动会话的列表。我在考虑在用户登录时将附加信息存储在数据库中,这样我们就可以获得设备名称、类型等数据,还可以存储访问令牌。然后,当用户想要杀死特定的会话时,以某种方式使所需的访问令牌无效。
实现此功能的正确方法是什么?
浏览 14提问于2016-07-18得票数 1
回答已采纳
我正在为我们的WebAPI实现基于JWT令牌的身份验证,以限制通过API进行的数据访问(例如,客户端发送用户名/密码,该api提供了一个对x小时有效的jwt令牌)。我们目前有反复出现的后台进程,需要访问这些数据。与此场景相关的最佳实践是什么?
我在某个地方读到,由于服务是一种机密类型的客户端,所以我们可以将凭证存储在类似于access-key/secret的代码中。我不喜欢配置密码或硬编码密码,但这似乎是用例的有效方法。
注意:对于存储私钥的位置,这个问题被认为是重复的,但问题的关键在于,在与后台服务相关的身份验证方面,哪种方法更好。
浏览 0提问于2017-09-22得票数 1
我读过,也见过。努力将认知+ API + OAuth2片段组合在一起。我的问题:
我是否正确地理解了资源服务器作用域的流程和使用:客户端应用程序向认知用户池请求一个JWT令牌(登录/授权发生)。对令牌的请求包含自定义范围A,因此科尼图返回了JWT访问令牌。在此之后,客户端应用程序使用已获得的令牌,对“资源服务器”进行REST调用(例如,对配置好的API端点)。API端点被设置为使用我们的认知用户池作为授权器+作用域设置为自定义范围A。因此,在这里的作用类似于“角色”或“权限”:如果客户端具有有效的JWT令牌+此令牌具有自定义范围A内+ API端点设置为使用该范围-然后客户端应用程序被授权调
浏览 5提问于2021-11-30得票数 3
回答已采纳
当我开始使用Spring Boot和Angular 7时,我遇到了用户身份验证。 让我们假设如下:我有一个带有Angular 7的前端和一个带有Spring Boot的后端,它提供了可以通过HTTP访问的API。 所以我知道,通常前端会使用JWT来验证用户,它存储了可能需要的关于用户的所有必要信息。但我偶然发现了Spring Boot Security的SecurityContextHoler: Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); 这允许我简单地访问已授
浏览 41提问于2019-01-20得票数 0
在成功的身份验证之后,我目前正在使用localStorage存储用户信息以及JWT令牌。这似乎不太安全,主要是因为数据可以很容易地编辑和修改。
我需要userID向服务器REST发出请求。在客户端存储用户敏感数据的最佳解决方案是什么?是否应该在登录后将数据存储在全局状态?
浏览 1提问于2020-10-07得票数 0
回答已采纳
1回答
SPA中的令牌存储和刷新选项
、、、、
我一直在阅读Aaron关于基于浏览器的应用程序的草稿(意为使用OAuth 2和OWASP安全指南开发的SPA(类似于使用React或confused)的认证最佳实践),这让我感到非常困惑:
RFC的草案提到了旋转刷新令牌。现在,我如何在遵守REST的无状态约束的情况下做到这一点呢?我是否在cookie和刷新令牌中包括一些随机字符串摘要,并检查它们是否相等?
在浏览器中存储刷新令牌的正确方法(或者更确切地说是一些更安全的方法)是什么?我已经检查了okta的JS库,它默认使用localStorage,这是OWASP指南推荐的。它有额外的保护吗?我应该把一些额外的消化,也把它放在一个曲奇,并
浏览 2提问于2020-01-21得票数 7
回答已采纳
我正在使用访问刷新jwt身份验证流,并希望客户端在收到访问令牌后每10分钟发送一次刷新令牌以获取新的访问令牌。我还想确保,如果用户关闭其笔记本电脑一小时,并返回到它,一个新的访问令牌请求也会被发送。在React/redux中实现此行为的最佳方式是什么,在React/redux中,用户将始终拥有有效的访问令牌,并无缝地保持他们的“会话”进行?
浏览 2提问于2018-02-19得票数 3
回答已采纳
1回答
我正在读关于jwt的书。几天后,我就明白了这个概念。现在,我的问题是,为每个用户创建jwt令牌,让其他用户使用其他令牌。
例如,场景:用户A登录到服务器并获取其jwt令牌,服务器允许它访问资源。
现在,第三方进入并获得用户A的jwt令牌。现在,第三方可以使用此令牌并使用此令牌来使用资源,而无需登录到系统。
如何为uniqe用户在空间上创建jwt令牌?
浏览 2提问于2016-07-25得票数 0
2回答
我正在开发一个使用vue.js和vuex的应用程序,它使用JWT令牌向JSON API服务器进行身份验证。所以我想知道存储JWT令牌的最佳实践是什么?
如果我将它存储在vuex商店,它在页面刷新后丢失,因此用户需要重新登录,这不是很方便。
如果我将它存储在浏览器的本地存储中,那么在下次登录之前它就会被弃用,然后使用身份验证令牌的组件就会变得混乱。我不知道如何处理这件事。
感谢你在这方面的提示。
浏览 2提问于2018-11-23得票数 3
2回答
我们有一个应用程序(服务器上的C#,使用AngularJS / Web作为单页面应用程序),它为用户分配不同的角色,这些角色存储在数据库中。当用户登录时,将用户对象(包括RoleID和RoleName)转换为JWT并发送给用户,然后将其用作身份验证。
然而,我们在确定维护和使用这些访问角色的最佳方式时遇到了麻烦。具体地说,要在当前设置中使用它们,似乎必须将角色名称或ID硬编码到应用程序中。
例如,在客户端,如果我们只想让具有Manager角色的用户能够查看和单击按钮,则必须显式声明,即if (UserService.HasRole('Manager')) { doStuff()
浏览 0提问于2016-06-02得票数 0
1回答
我正在实现一个Android应用程序,它必须包含一个用户登录。为此,我创建了自己的身份验证器,目的是只登录一次。然后AccountManager可以请求访问令牌,因此应用程序不直接处理密码。AccountManager存储用户帐户和令牌。
我使用JWT (Json令牌)在REST中对用户进行身份验证。
我不知道这个流程是否正确,或者在Android中有更好的方法来做到这一点。
下面是我目前使用的流程:
用户第一次在登录屏幕中输入用户和密码。
我向服务器发出请求,以检索存储在Account Manager中的有效令牌(JWT)。
随后的请求使用接收到的访问令牌,直到它过期(1小时),
浏览 3提问于2016-07-22得票数 4
例如,假设我想确定用户是否仍然“登录”.也就是他们的令牌还没有过期。
当我第一次发布JWT access_token时,我将其存储在localStorage中。我知道,仅仅检查localStorage以查看access_token是否存在是不够的。我读过关于内省终结点的文章,但这似乎是针对API的--而不是JS客户端。是否使用客户端库进行JWT验证的最佳方法?我不喜欢这样,因为我可能需要切换到引用令牌。我想给服务器端打个电话。
用access_token客户端验证JavaScript的正确方法是什么?
更新:在进一步的调查和建议的最低特权,我将使用,所以我不需要担心这一点。
浏览 8提问于2017-04-10得票数 1
回答已采纳
2回答
我正在构建一个新的应用程序,它使用完整的mern堆栈,我坚持有关受保护路由、登录/注册和创建ACL用户角色的最佳实践。
我习惯于在节点中使用护照或jwt这样的方法,但是有了自己的路由器,我读到有一些方法可以保护react本身中的路由。使用完整的MERN堆栈进行开发和设置用户角色的最佳方法是什么?
谢谢
浏览 5提问于2019-10-01得票数 0
回答已采纳
1回答
参考令牌生成最佳实践
、、、、
我为nodejs项目实现了JWT令牌,但对撤销令牌的需求使我切换到引用承载令牌,以完全控制令牌生存期。根据我的项目要求:
令牌必须比自描述的JWT令牌短一些。
必须有某种方法来确保服务器发出令牌(如JWT中的hs256验证),但是由于参考令牌中没有有效负载部分,所以情况变得更加复杂。
实现安全、不可猜测的引用令牌的最佳实践是什么?
浏览 2提问于2016-11-22得票数 1
对不起,我的英语不好。要生成我正在使用的JWT-token
jwt = require('jsonwebtoken');
/* some code */
//function to create jwt-token
function createToken(user) {
return jwt.sign(user, config.secret, { expiresIn: 60*60*5 });
}
/* some code */
//after registration/authorization (if success) createToken token
浏览 0提问于2016-11-09得票数 1
1回答
在oauth2中检查令牌是否对JWT令牌有效的最佳方法是什么。
我应该使用这个端点吗?
/oauth/check_token
我不知道如何使用它,以及它在做什么。
我需要验证令牌的原因是,当提供正确的令牌时,我希望有一些筛选器可以让我登录用户。
或者我应该从JWT令牌中获取userName,然后为用户询问数据库?
浏览 0提问于2018-08-13得票数 0
回答已采纳
1回答
我正在使用react和Microsoft SQL Server制作一个全栈网站,然而,我被登录页面的功能卡住了。 要做到这一点的最佳实践是什么? 到目前为止,我在DB中有一个简单的登录表单和一个用户表。我的想法(对于这个开发的第一次迭代)是对users表执行一个简单的查询,以查看电子邮件和密码是否存在。 是否可以根据用户是否存在于表中来限制react-router-dom打开页面?我知道需要JWT身份验证? 我只是在寻找如何像这样的登录表单应该工作的指针。
浏览 13提问于2020-01-02得票数 0
回答已采纳
1回答
我正在通过Json令牌(JWT)实现无状态REST。目前,我想知道将用户数据传递到前端的最佳方法是什么。这些是我需要在前端username, email, role, full_name, description, profile_img, facebook_id, twitter_id, custom_setting_1, custom_setting_2, custom_setting_3, custom_setting_4上访问的字段。
我看到有两种选择:
在创建JWT期间,将用户数据添加到JWT有效负载中。然后在前端解码。虽然我担心如果我添加所有的数据,有效载荷将变得相当大。
浏览 2提问于2016-06-21得票数 15
1回答
在Microsoft的用户委托密钥文档中,它说:
访问容器、目录或blob的SAS令牌可以使用Azure凭据或帐户密钥进行保护。使用Azure AD凭据保护的SAS称为用户委托SAS。Microsoft建议您在可能的情况下使用Azure AD凭据作为安全最佳实践,而不是使用帐户密钥,因为帐户密钥更容易受到损害。当应用程序设计需要共享访问签名时,请使用Azure AD凭据创建用户委托SAS,以获得更高的安全性。
为什么这种方法提供“更高的安全性”?我想SAS代币都是安全的?那么,为什么一种方法比另一种更安全呢?如果使用存储访问策略,还可以在SAS令牌出现帐户密钥问题时撤销它们。
浏览 6提问于2021-05-04得票数 4
回答已采纳
1回答
在我最近的一次接触中,我试图实现JWT令牌在前端的安全存储。我之前的方法是将access_token以及refresh_token存储在sessionStorage中,这很容易受到XSS攻击。现在,当access_token到期时,我将调用/refresh端点来获取新的access_token。在这里,我将过期的JWT传递到Authorization头中。这里的想法是保护您的刷新端点,并确保只有登录的用户才会请求令牌。
之后,我们更改实现以防止XSS和CSRF。紧接着,
建议将您的访问令牌存储在内存中,并将刷新令牌存储在cookie中。因此,在FE中,我们无法访问cookie(HTTPOnly
浏览 2提问于2021-06-09得票数 2
我是JWT(Json web令牌)的新手。我在JWT中有一个关于用令牌(已经登录一次)和没有out令牌(第一次登录)来识别用户的问题。
如果每次登录时只传递用户名和密码,服务器会为我创建新的JWT吗?如果这不是真的,那么如果某个用户访问了他/她的用户名密码,并尝试使用不同的PC或浏览器登录,就容易受到用户的攻击。(因为JWT总是存储在cookie或本地存储上)
浏览 2提问于2016-07-28得票数 0
回答已采纳
1回答
,它说:
请注意,对于已签名的令牌,此信息虽然受到保护,但任何人都可以阅读。除非加密,否则不要将秘密信息放入JWT的有效负载或头元素中。
这个部分对我来说很清楚,即使使用内置的调试器,我也可以看到头和有效负载仅是base64 64编码的。
但是,我不明白怎么加密(JWE是术语吗?)能提高安全性吗?
在我看到的示例中,用户传递他们的凭据,然后是他们收到的 (我理解这个例子有缺陷,因为它不使用HTTPS --这里我专门询问HTTPS请求)。
因此,我的问题是,如果通过HTTPS POST的请求体发送用户凭据是可以的,那么最佳实践为什么对JWT的头或有效负载不一样呢?
浏览 14提问于2022-10-04得票数 1
我想知道在更改密码/注销时使JWT无效而不点击db的最佳实践。
我有下面的想法,通过命中用户数据库来处理上述两种情况。
1.在密码更改的情况下,我检查存储在用户db中的密码(散列)。
2.在注销的情况下,我将最后一次注销时间保存在用户db中,因此,通过比较令牌创建时间和注销时间,我可以使这种情况无效。
但这两种情况的代价是每次用户点击api时都会命中用户db。任何最佳实践都是值得赞赏的。
更新:我认为我们不能在不点击db的情况下使JWT无效。所以我想出了一个解决方案。我已经发布了我的答案,如果你有任何问题,欢迎你。
浏览 70提问于2015-02-27得票数 78
回答已采纳
1回答
我正在编写一个使用AWS (Lambda、API Gateway、Cognito等)的无服务器应用程序,我发现自己在想如何最好地保护我的堆栈。 我读到过,对于使用服务器、EC2或其他方式的应用程序,最佳实践是将用户的ID令牌存储在后端。这是有意义的,因为节点进程将为我提供一个长期的解决方案,用于保留和重用ID令牌。另一方面,无服务器应用程序则不能提供这种奢侈功能。我已经考虑过把它放在前端--毕竟,由cognito提供的JWT令牌是经过签名的,因此应该是防篡改的,但从我的角度来看,这似乎有点令人不安。我更喜欢用户不能直接访问自己的令牌的系统。我也考虑过为每个发送到Lambda的请求请求一个新的
浏览 12提问于2019-05-09得票数 2
回答已采纳
我构建了一个Rest,它通过使用JWT和刷新令牌来处理请求。但我不知道如何在客户端存储它。
我是否应该将两者都存储在带有httponly标志的cookie中呢?
我应该同时存储在cookie中还是存储在本地存储中,例如共享首选项(Android)?
我非常关心在客户端处理这些令牌的最佳实践是什么?
浏览 6提问于2020-07-15得票数 2
回答已采纳
处理HTTP数据包中的JWT令牌的标准和最安全的方法是什么?
JWT不应该被设置为cookie,这是正确的吗? cookie使得会话劫持变得微不足道,因为浏览器会自动包含它,因此不会在普通会话id cookie上为JWT令牌提供任何附加值。
那么,JWT令牌应该作为头部还是作为JSON属性包含在内,或者这是一个实践问题?
浏览 2提问于2016-07-19得票数 0
我使用了spring boot resttemplate,并将http通信委托给Apache HttpClient库。我在openshift中部署了服务A和B,它们需要与服务C交互。服务C位于Kong Gateway后面,身份验证基于SSO和身份服务器,该服务器提供JWT访问令牌和刷新令牌。
我的问题是关于从服务A或B到C的身份验证。在A或B中进行身份验证后,在A和B中安全存储JWT令牌的最佳机制是什么?我在考虑缓存,或者在服务A和B中,或者在数据库中,我知道对于每个服务,我们都需要单独存储令牌。永远使用刷新令牌,或者重新进行身份验证并每隔一段时间获取新令牌,这是一种好做法吗?
浏览 1提问于2020-03-15得票数 0
2回答
我正在创建REST来为前端服务,但我不清楚一些事情,并希望有人能对这种方法的最佳实践有所了解。
API是烧瓶,我使用的是JWT。因此,当用户正确地进行身份验证(传递正确的用户名/MD5密码)时,我将返回一个JWT。我还根据用户名将JWT存储在数据库中,以确保在任何给定时间每个用户只有一个JWT。即使他从另一台PC登录,我也创建了一个程序来将当前令牌列入黑名单。
我不清楚的是前端(比方说像角)如何确定用户是管理员还是标准用户。我是否应该返回(例如0或1),以便前端知道隐藏某些导航链接?如果您将某些内容存储到cookie中,用户仍然可以更改该值并访问管理链接,因此这可能是我感到困惑的地方。
此外,
浏览 3提问于2020-01-29得票数 0
回答已采纳
1回答
目前,我在AWS上运行了一个后端,我正在使用DynamoDB作为数据库。在Dynamo中,有一个用户列表,每个用户都有通过API访问哪些路由的特定权限。这里没有问题。我还没有构建前端,但我将登录用户使用Google,更具体地说,。
我的问题是:一旦用户登录到站点,我是否应该信任Google (验证其合法性)中的JWT,后者返回用户信息(名称、电子邮件),在Dynamo中查找用户项以检索他们的权限,然后为他们的请求服务?这似乎是合乎逻辑的做法,但我正在寻找一些确认。我唯一担心的是,有人可能会使用主管的名字&电子邮件来授权请求,但是如果lambda 必须接受由Google创建的JWT作为条
浏览 1提问于2021-03-03得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
