在Java中为hasura授权生成JWT令牌
,可以通过以下步骤完成:
- 首先,了解什么是JWT令牌(JSON Web Token)。JWT是一种开放标准(RFC 7519),用于在各方之间安全传输信息。它由三部分组成:头部、载荷和签名。头部包含令牌的类型和使用的加密算法;载荷包含令牌的主题、过期时间等信息;签名用于验证令牌的真实性。
- 授权生成JWT令牌的步骤如下:
- a. 导入相关的库或依赖项,如Java JWT库。
- b. 创建一个方法来生成JWT令牌。方法中需要设置令牌的头部和载荷。
- c. 在头部中,指定令牌的类型为JWT,以及使用的加密算法,如HMAC SHA256。
- d. 在载荷中,设置令牌的主题、过期时间等信息。例如,可以将hasura授权所需的有效载荷数据放入其中。
- e. 使用密钥对令牌进行签名,以确保令牌的真实性。
- f. 返回生成的JWT令牌。
- 以下是一个示例代码,演示了如何在Java中生成JWT令牌:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JWTGenerator {
public static String generateToken(String hasuraPayload) {
// 设置密钥
String secretKey = "your-secret-key";
// 设置过期时间
long expirationTimeInMillis = 86400000; // 24小时
// 获取当前时间
long nowMillis = System.currentTimeMillis();
// 创建JWT构造器
JwtBuilder builder = Jwts.builder()
.setHeaderParam("typ", "JWT")
.setIssuer("your-issuer")
.setSubject("your-subject")
.setAudience("your-audience")
.claim("hasura", hasuraPayload)
.setIssuedAt(new Date(nowMillis))
.setExpiration(new Date(nowMillis + expirationTimeInMillis))
.signWith(SignatureAlgorithm.HS256, secretKey);
// 生成JWT令牌
return builder.compact();
}
public static void main(String[] args) {
String hasuraPayload = "{\"role\": \"user\"}"; // 设置hasura授权所需的有效载荷数据
String jwtToken = generateToken(hasuraPayload);
System.out.println(jwtToken);
}
}在上述示例中,你需要替换以下内容:
your-secret-key:替换为你自己的密钥,用于签名JWT令牌。your-issuer:替换为你自己的发行者(可选)。your-subject:替换为你自己的主题(可选)。your-audience:替换为你自己的受众(可选)。{\"role\": \"user\"}:替换为hasura授权所需的有效载荷数据。
通过上述代码,你可以在Java中生成包含hasura授权信息的JWT令牌。这个JWT令牌可以用于hasura的身份验证和授权。请注意,这只是一个示例,你可以根据自己的需求进行修改和优化。
在腾讯云中,你可以使用腾讯云的云原生产品和服务来部署和管理你的Java应用程序。例如,你可以使用腾讯云容器服务(Tencent Kubernetes Engine,TKE)来运行和扩展你的Java应用程序。你可以参考TKE产品介绍来了解更多信息。
希望这个答案对你有帮助,如果有任何进一步的问题,请随时提问。
相关·内容
2回答
如何验证自定义令牌?
、、、
在我的项目中,我正在使用firebase和函数。我的数据库api使用的是不同的提供者。我需要从函数"admin“调用我的数据库。我的服务器是通过以下配置(自定义验证,不能使用firebase管理)来验证firebase的jwt令牌的:
{
"type":"RS256",
"jwk_url":"https://www.googleapis.com/service_accounts/v1/jwk/securetoken@system.gserviceaccount.com",
"audience":
浏览 4提问于2020-05-13得票数 1
回答已采纳
1回答
我正在开发一个食品配送网络应用程序。因此,将有两种类型的用户,1.客户。2.供应商。我可以在hasura控制台中为两个用户设置表的自定义权限。现在,如何实现身份验证设置,用户可以用这两个不同的角色注册/登录两个网站。在auth0或firebase中,我们不可能有这个特性。因此,自定义auth服务器是唯一的选择。所以我的问题是-如何运行我们在auth0中运行的jwt脚本来传递那些季节变量。
function (user, context, callback) {
const namespace = "https://hasura.io/jwt/claims";
context.i
浏览 3提问于2020-04-04得票数 0
2回答
目前,我正在将Auth0与Hasura一起用于一个React项目,在身份验证方面我遇到了一些困惑。
Hasura文档声明您可以将x-hasura-role传递给您的请求,以指定用户角色。这对于测试来说很好,因为我可以轻松地在角色之间跳转,而且使用Hasura控制台也很容易。
但是,我不希望这个选项可以用于生产,那么任何用户都可以在请求头中指定x-hasura-role=admin,并且他们将拥有完全的管理访问权限。我假设这些标志将在生产中被禁用,并且这些角色将从签名的JWT键中取出,并带有Hasura声明。
我想做的是让Hasura从我的Authorization JWT令牌中提取“角色”(A
浏览 5提问于2022-06-14得票数 1
在我的云函数中,我需要创建一个自定义令牌并插入一些自定义声明。我是这样做的:
let additionalClaims = {
'https://hasura.io/jwt/claims': {
'x-hasura-default-role': 'admin',
'x-hasura-allowed-roles': ['user', 'admin'],
}
}
admin.auth().createCustomTok
浏览 4提问于2019-11-08得票数 0
2回答
如何处理反应温泉上的更新令牌?
、、、、
我有两台服务器。一个用于Hasura GraphQL api,它查询数据库并提供应用程序数据。另一个是用于身份验证的节点服务器。这两台服务器不在同一域中。
我有个反应水疗的客户。当用户登录时,节点服务器使用hasura graphql端点验证凭据,并向客户端提供一个jwt令牌和刷新令牌。刷新令牌是通过httpOnly cookie发送的,因为react客户端和节点服务器位于相同的域中。
现在,当jwt令牌过期时,我希望使用自动作为cookie发送到节点服务器的刷新令牌来静默地刷新jwt令牌。我将如何实现这一点?
我可以想到的一种方法是,在客户端对jwt进行解码,如果jwt过期,则向节点服务器上
浏览 10提问于2020-05-24得票数 1
回答已采纳
我正在为我的应用程序使用Firebase身份验证,并使用它使用JWT令牌将用户授权给后端API。在API后端上,我配置了JWT秘密,这是从这个url中提取的非对称密钥:
一切都很顺利。我最近需要创建一个云函数,它也需要调用API后端。为此,我将使用以下功能创建自定义令牌:
这将使用正确的自定义声明创建我的令牌。
let additionalClaims = {
'x-hasura-default-role': 'admin',
'x-hasura-allowed-roles
浏览 1提问于2019-11-07得票数 1
回答已采纳
在我的Nuxt应用程序中,成功登录后,我有来自Auth0的声明。Devtools控制台显示它: $vm0.$auth.$state.user['https://hasura.io/jwt/claims']
{x-hasura-default-role: "user", x-hasura-allowed-roles: Array(1), x-hasura-user-id: "auth0|5e989a*******"} 但是我的令牌没有这个声明,所以我的hasura请求失败了。在控制台中,我在声明后立即检查token: $vm0.$auth.get
浏览 9提问于2020-04-17得票数 0
回答已采纳
我们正在使用Hasura向消费者提供我们的GraphQL API。目前,我们使用Auth0对用户进行身份验证,但我们希望迁移到Azure B2C。
的一个要求是使用"“命名空间来提供自定义声明(如X、X等)。
我已经能够让AAD B2C:
使用REST收集这些自定义声明所需的值;
使用JSON将单个string / stringCollection值转换为JSON对象;
返回JWT中的转换声明。
但是,我不知道如何在不转义内容的情况下使JSON对象出现在最终的JWT中,即输出为字符串而不是对象。
是AAD B2C,能够在JWT?中输出嵌套对象。
我们希望达到的目标
浏览 8提问于2020-05-02得票数 6
回答已采纳
1回答
我正在尝试为Hasura身份验证和授权设置NextAuth。因为Hasura需要定制jwt声明,所以我不能使用OAuth提供程序提供的默认访问令牌。所以我在...nextauth.js中使用encode块来编码一个自定义的jwt令牌,一切都很正常。但是我不知道如何为我的自定义令牌实现刷新令牌。下面是我的"pages/api/auth/...nextauth.js“
import * as jwt from "jsonwebtoken";
import NextAuth from "next-auth";
import Providers from
浏览 0提问于2021-04-28得票数 0
1回答
如果我在仪表板中禁用x-hasura-admin-secret,并添加Authorization: Bearer a_jwt_encoded_with_a_HASURA_GRAPHQL_JWT_SECRET_and_the_hasura_custom_claims
然后我不断收到祝酒词的通知:
Schema introspection query failed
x-hasura-admin-secret/x-hasura-access-key required, but not found
我遗漏了什么?如何在Hasura GraphiQL资源管理器中测试我的权限?
我的HASURA_GRA
浏览 4提问于2021-08-11得票数 2
回答已采纳
我将hasura配置配置为映像中的配置,并使用jwt生成令牌,如图中所示
但是在哈须拉,我得到了一个错误:“无法验证JWT: JWSError JWSInvalidSignature”
编辑:更改令牌后,错误就解决了,但是现在没有可用的查询:
浏览 4提问于2022-08-08得票数 0
我一直在寻找答案,但我还没有见过在一起使用Flutter、Firebase和Hasura GraphQL的上下文中讨论过这个问题。
在Flutter中工作,利用Firebase身份验证后端,我获得了一个用户JWT,并将其传递给Heroku Hasura GraphQL端点(带有查询)。
大部分设置和代码遵循并灵感来自于的教程,第2部分和第3部分,以及的颤振图形at文档。
Firebase正在成功地向我的GraphQL数据库中添加新的用户记录。Firebase正在返回一个JWT,在构建GraphQL客户端期间,它将被添加到AuthLink中。这就是JWT看起来的样子(掩盖个人信息):
标头:算法
浏览 6提问于2020-08-28得票数 1
如果我正确理解,要使用JWT在hasura授权查询或突变,需要在请求本身中满足几个要求,即:
JWT本身,出现在请求头中
请求头中显示的x-hasura-role,Authorization: Bearer <token here> (可选)
x-hasura-role: user 请求主体中显示的实际查询或突变
myQuery {
id
name
another_field
}
然后,当请求被发送到hasura端点时,hasura GraphQL引擎将尝试
验证JWT 检查请求头中设置的x-hasura-role值是否存在于jwt的x-hasura-allowed-
浏览 5提问于2020-04-01得票数 5
回答已采纳
1回答
API网关应该负责授权吗?
、、、、
目前,我有一个带有Java/Spring的monolith应用程序,其端点如下:
/login
/logout
/some-resource
要访问some-resource,流程如下:
用户向POST端点发出/login请求。如果凭据正确,则在标头中返回JWT令牌,否则返回401。
用户将JWT令牌连同请求一起发送到/some-resource。如果令牌有效,则返回资源,否则为403。
现在,我想将monolith分成两个服务:"AuthServer“和"SomeResourceServer”。顶部将有一个API网关。我正在考虑两种可能的处
浏览 1提问于2018-06-05得票数 12
回答已采纳
1回答
接下来,当只使用回调对象时,一切都正常,我可以使用google登录。并正确地生成jwt。
callbacks: {
async jwt({ token }) {
console.log("token callback jwt: ", token)
token.userRole = "admin"
return token
},
async session(session) {
console.log("session callback: ", session)
浏览 21提问于2022-03-10得票数 0
我用的是Keycloak 10.0.2的对接图像。我希望Keycloak提供可以由Hasura使用的access_tokens。Hasura需要这样的自定义声明:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true,
"iat": 1516239022,
"https://hasura.io/jwt/claims": {
"x-hasura-allowed-roles": [&#
浏览 16提问于2020-06-05得票数 1
回答已采纳
generate策略是如何在API中工作的?它是否在后端调用授权服务器来生成JWT?例如,在现实场景中,我们有一个授权服务器,它验证用户凭据并返回在后续调用中使用的JWT。但是在这里,我没有看到任何授权服务器是需要的,我们只是简单地提到了加密算法的声明,它返回了一个JWT。如果我错了,请纠正我。
另一个相关问题是:
我相信有三种可能的方式来提及签署JWT的秘密:
私钥对(RSA)
JWK
共享密钥
如何在API中实现共享密钥。
注意:我需要调用一个使用JWT公开的系统。
浏览 3提问于2018-03-10得票数 1
回答已采纳
我在实现下面的用例时遇到了问题。我需要将用户ID声明传递给后端。我已经启用了enable_outbound_auth_header,这样我从应用程序获得的令牌就会到达后端。我已经设法将用户ID添加到此令牌中。我想使用JWT授权,代码授权,客户凭证授权和APIKey。但是,用户ID仅在代码和JWT授权时添加到令牌中。我的方法是使用OIDC作用域,我在文档中看到我可以使用apim.jwt传递终端用户属性,但是我没有设法传递用户ID。有什么方法可以实现这一点吗?(没有自定义生成器) 在这种情况下,我必须实现一个自定义的令牌生成,我想知道该实现哪一个。我已经看到有很多可能性。我应该实现一个令牌生成器
浏览 21提问于2021-10-10得票数 0
回答已采纳
1回答
我想在Hasura中创建身份验证apis。我的用户在注册时可以有不同的角色。考虑为同一表维护一个Enum表。这样我就可以在user表中使用外键/输入。但是,我打算在这个enum表上创建一个后置触发器,这样每次添加新角色时,都应该创建一个新的hasura角色,以便相应地允许JWT身份验证和授权。哈苏拉的角色藏在哪里。
浏览 7提问于2022-06-29得票数 0
回答已采纳
我真的对JWT验证的细节感到困惑。我知道这必须在服务器上完成,但是JWT也是在服务器上生成/签名的。
因此,这意味着(对粗体部分感到困惑):
用户请求登录(用户/密码被发送到服务器)
服务器检查用户是否存在和正确的密码,返回签名的JWT。
客户端接收JWT,将其发送回服务器以验证?。
服务器验证JWT,然后将OK响应发回?
如果服务器是生成和签名JWT的服务器,那么为什么需要验证呢?这对我来说唯一有意义的方法是,如果你在前面核实,我知道这是一个很大的不-不。
我显然不清楚这件事。有人能帮我填补空白吗?
浏览 2提问于2020-06-17得票数 1
回答已采纳
1回答
这里有Spring应用程序--服务器生成HTML,客户端不是SPA (也就是说,这不是任何形式的API )。
在身份验证期间,将生成JWT令牌并将其返回给客户端。在授权期间,服务器验证JWT令牌。
如何在客户端存储JWT令牌并将其传递给服务器?记住,这是Spring应用程序,而不是SPA。
我试图搜索任何示例,但唯一的发现与REST身份验证无关,这与本例完全无关。
在最坏的情况下,我们可以从JavaScript执行身份验证,并将JWT令牌存储在缓存/cookie中。但是Spring可能支持这一点,我们只需要在配置中设置一些复选框:-)
浏览 1提问于2019-05-15得票数 5
回答已采纳
我们正在开发与DocuSign的集成。我们使用嵌入式签名和JWT身份验证。我们从DocuSign合作伙伴解决方案团队收到信息,在JWT身份验证中,我们可以将访问令牌的过期时间设置为很长时间。
基于这些信息,我设计了解决方案,因此我们手动执行JWT身份验证流程:获得用户同意,生成JWT,将过期设置为一年,并使用它获得一个长期过期的访问令牌。
现在我们走出沙箱开始生产。我们正在测试该解决方案的30天跟踪生产帐户。我们得到了用户的同意。我生成JWT并将过期设置为不同的时间段(一天、一个月、一年),但是我总是得到一个只持续一个小时的访问令牌。
PS,我浏览了,它说明了关于JWT属性的如下内容:
默认
浏览 2提问于2020-01-19得票数 0
回答已采纳
我正在使用JWT。为了加密令牌,我在Java中使用了HS512签名算法和base64EncodedSecretKey。在得到令牌之后,我可以在不知道秘密密钥的情况下解密令牌。这怎麽可能?我的记号有什么问题吗?
String JWT = Jwts.builder()
.signWith(SignatureAlgorithm.HS512, SECRET)
.setSubject(username)
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATIONTIME))
.setAudience("ADMIN
浏览 0提问于2018-03-27得票数 4
回答已采纳
如何使用JettyWebSocketClient版本1.12.0在nifi中传递授权承载者JWT令牌?无法看到添加安全websocket连接令牌的任何属性.尝试使用"+“添加自定义属性,但websocket客户端出现错误消息时无效,错误消息是不支持该属性。
尝试在密码属性中传递JWT令牌,但始终得到403禁止的错误。
浏览 7提问于2022-11-10得票数 0
2回答
我正在尝试生成用于授权API的jwt令牌。首先,我无法从JIRA中找到任何令牌生成器api。在大量搜索之后,我找到了一个java代码来生成jwt令牌,但是它在导入zephyr库时会出错。
错误:
org.codehaus.groovy.control.MultipleCompilationErrorsException: startup failed: Script4.groovy: 18: unable to resolve class com.thed.zephyr.cloud.rest.ZFJCloudRestClient @ line 18, column 1. import com.
浏览 3提问于2018-01-17得票数 2
回答已采纳
试图使用完全后端java过程从DocuSign读取特定信封的数据.经过一些尝试和错误之后,我获得了JWT授权的AccessToken,但是在请求实际数据时仍然会出现授权错误:(
any) 定义了新的集成密钥9xxx7e 用户应用程序:授权代码授予无秘密添加服务集成-上传的RSA公钥< Code >H19</>添加了一个重定向URI (不管我不需要)
手动确认相应链接: .假设它只是一次actionSuccessfully请求访问令牌,使用java代码(使用com.docusign:docusign-esign-java:3.10.1) )。
ApiClient = ne
浏览 0提问于2021-03-15得票数 0
1回答
因此,在我们的项目中,我负责UI部分,它位于角8中,后端是使用JAVA开发的。两者都将部署在同一个windows服务器上。目前,我们正在使用基本的身份验证来验证用户和访问不同的REST URL。我对此并不熟悉,所以我对JWT令牌没有太多的了解。那么,谁能解释使用基本身份验证和JWT令牌之间的区别呢?当后端和前端都部署在同一台服务器上时,我们是否需要JWT令牌呢?
在当前项目中使用basic auth进行用户验证的示例代码。
LoginAuthorisation(logindata: LoginData) {
let authrizationdata = logindata.inputE
浏览 2提问于2020-11-04得票数 2
我有两个服务器和前端客户机:
在向客户端发出jwt令牌之后,一个服务器授权并对用户进行身份验证。
前端客户端还使用jwt令牌作为授权头访问第二个后端服务器。
JWT秘密在这两个服务器上是相同的(用SH256加密)。
问题:
是否有其他选择来保持令牌安全,并防止第三方javascripts对其进行强制处理?因为客户端从jwt令牌获得一些数据,所以http-only cookie不合适。
您认为现有流中存在一些安全缺陷吗?
浏览 0提问于2021-06-28得票数 2
2回答
我使用Firebase auth作为应用程序,但作为用户创建的一部分,我需要设置一些自定义声明。
我编写了一个云函数,用于在创建用户时设置声明:
const functions = require('firebase-functions');
const admin = require('firebase-admin');
admin.initializeApp(functions.config().firebase);
// On sign up.
exports.processSignUp = functions.a
浏览 3提问于2020-03-17得票数 9
回答已采纳
1回答
我正在尝试设置Hasura中的允许列表功能,但文档似乎相当稀疏。这是其中一个查询: {
hasura_auth(args: {cleartext_password: "xxx", email: "email@mail.com"}) {
jwt_token
}
} 如何将动态部件集成到允许列表中? 我尝试了这个和很多变种,但都没有成功: {
hasura_auth(args: {cleartext_password: $pass, email: $email}) {
jwt_token
}
} 谢谢你的帮忙!
浏览 17提问于2021-03-26得票数 0
回答已采纳
我在使用Lambda配置Hasura auth钩子时遇到了一些问题。出于安全原因,我需要这样一个函数,因为我将JWT令牌存储在一个仅限HTTP的cookie中。
我使用了一个无服务器函数,它可以返回正确的响应(无论是在直接测试curl请求时,还是在记录lambda时):
{
"statusCode":200,
"body":"{\"X-Hasura-User-Id\":\"74d3bfa9-0983-4f09-be02-6a36888b382e\",\"X-Hasura-Role\":\&#
浏览 0提问于2020-02-07得票数 0
2回答
使用JWT的REST安全性
、、、、
我最近发现了用于令牌身份验证+授权的JWT。我认为将用户信息包装在令牌中是非常有用的,所以我尝试在Java/Spring项目中使用它。
起初,我的印象是:如果我有所有的用户数据作为标记,我不需要将其存储在应用程序DB中,也不需要为每个服务请求检索用户+会话信息。这是非常棒的,可以有效地提高服务访问性能。
但是现在我对用例的JWT“限制”有了一些怀疑。例如:如果用户被服务管理禁用,而最后生成的令牌尚未过期怎么办?用户可以访问该服务,即使它实际上没有授权.
这是JWT的一个限制,还是我遗漏了什么?你能澄清我的疑虑吗?
浏览 2提问于2016-08-04得票数 4
回答已采纳
1回答
Auth0 JWT访问令牌
、、、、
我很难让Auth0返回JWT格式的访问令牌。我需要它们的JWT格式,以便能够使用Java库来验证它们。
我正在使用Auth0 lock登录,并使用/oauth/token获取访问令牌--我已经尝试将用户设置为我们的API标识符(在多个地方,包括锁和/oauth/token有效负载),但没有成功--访问令牌是返回的,但不是JWT。
或者,是否有一个Java库来验证“本机”Auth0访问令牌?
var options = {
auth: {
redirectUrl: '<redirect_link>',
responseType:
浏览 1提问于2017-07-24得票数 2
回答已采纳
1回答
我正在和同学们一起为学校做一个项目,并在Spring Security中使用JWT。我们有关于在前端解码JWT有效负载的争论。前端是用Angular完成的。Oauth端点返回授权响应,如下所示:
{
"access_token": <access_token>,
"token_type": <bearer>,
"expires_in": <time>,
"scope": <scope>,
"jti": <jti>
}
浏览 0提问于2018-02-27得票数 0
3回答
我已经构建了一个API,它使用JWT进行授权。如何使用Paw生成适当的JWT?我可以编写一个简单的应用程序来接收我的所有信息,并发出一个JWT,但我希望能够以某种方式将信息放在Paw中,让它生成JWT并将其发送到API中。
浏览 2提问于2015-07-05得票数 5
回答已采纳
1回答
我们有一个单独的Page,它调用我们的后端服务(C#和Auth0 ),使用Auth0 SPA流授权这些请求。
我们的后端服务仅作为处理来自SPA用户的请求的一部分向对方发出请求,因此目前我们只是从SPA请求转发授权头,使用它对每个被叫服务进行授权操作。
现在我想添加后端处理作业,这些作业将在我们的服务之间发出请求,调用现有的端点。这些请求将不会有任何现有的auth头来转发,因此需要构建它们自己的头。
基于Auth0文档、和,我认为应该使用客户端凭据授予授权这些请求,并且我推断,我们现有的端点因此需要接受两种不同的方式授权的请求:来自SPA或来自其他服务的请求。
问题是来自SPA的JWT使用一个
浏览 1提问于2017-05-15得票数 5
回答已采纳
1回答
我正在为 创建。
实现连接器的部分过程是编写一个从AuthBase扩展requests.auth类的身份验证例程。
问题是Docusign 不支持用于JWT授权的刷新令牌。根据
JWT授予的访问令牌在一个小时后到期,并且不提供刷新令牌。在令牌过期后,您必须生成一个新的JWT并将其交换为一个新的访问令牌。
您可以重用大部分旧断言,只需修改IAT和EXP值并更新签名,然后提交更新的JWT以获得新的访问令牌。一般来说,使用JWT的应用程序应该在现有的访问令牌到期前15分钟获得一个新的访问令牌。
但是,的这一部分(链接到requests-authlib文档中的 )中的“后端应用程序流”中的所有
浏览 3提问于2022-02-24得票数 0
回答已采纳
我正在我的API中实现OAuth 2.0。我们使用JWT进行身份验证,并为客户端重新授权刷新令牌。我是否应该要求客户端也在userId的主体中提供POST /token,以便他们需要一起了解用户和刷新令牌(所以您不能仅仅尝试一串随机字符串,看看什么能工作)?标准是什么?
浏览 1提问于2015-01-02得票数 1
回答已采纳
我有一个JWT令牌,它看起来像
{
"aud": "xx",
"iss": "http://xx.com/adfs/services/trust",
"iat": 1649956864,
"exp": 1649960464,
"apptype": "xx",
"appid": "dcf6c0d8-7f3c-4904-a0c9-852c92c7624f",
"authmethod": "
浏览 17提问于2022-04-13得票数 0
回答已采纳
2回答
我有一个基于Koa的Node.js后端用于我的个人/业余爱好应用程序。
我用JWT令牌实现了会话处理。客户端(AngularJS)在成功登录后获取令牌,并将令牌存储在某个地方(目前在sessionStorage中,但出于这个问题的目的,这不重要)。
我有两个问题:
当我需要更新JWT所代表的用户记录时,比如说,用户打开了双因素身份验证(2FA),所以我要求他提供他的电话号码,我想在用户的记录中设置这个电话号码。目前,在成功验证电话号码之后,我调用后端更新用户记录,并使用更新的用户记录创建一个新的JWT令牌(我将敏感信息排除在JWT令牌中,比如散列密码,但我希望包括用于客户端使用的电话号码)
浏览 6提问于2016-10-03得票数 10
2回答
我有一个SPA (角)应用程序,连接用户与Azure B2C。然后,应用程序获得一个JWT。然后,应用程序必须使用WSO2 APIM背后的API。我希望通过Wso2 APIM验证JWT。
水疗-> AZUREADB2C
SPA <-- AZUREADB2C (JWT)
SPA -> APIM (验证JWT) ->后端API
我应该在APIM中创建一个自定义密钥管理器吗?或者还有另一种环境?
浏览 7提问于2022-06-03得票数 1
1回答
我有一个react SPA -它调用自定义的Identity Manager,如果成功,则向SPA应用程序返回一个授权码。例如: https://my-identiymanager.com/authorize?response_type=code&client_id=******&redirect_uri=https://localhost:5001&scope=openid 它起作用了,我在重定向URL中得到了一个返回的代码。现在,我想调用我的dotnetcore web api并使用此代码,以便服务器端webapi可以获取和维护浏览器会话的JWT。 这是一个有效的
浏览 21提问于2021-08-11得票数 1
我一直在阅读,因为它在OAuth中使用JWT (JSON令牌)。
在和中,它指出JWT可以用作授权赠款或客户端身份验证。
根据我的理解,身份验证是识别某个东西(这个用户是他声称的那个人),授权是检查一个用户是否被允许做他所要求的事情。
JWT作为授权授予是有意义的,因为请求是通过签名而隐式标识的。大多数支持此方法的API使用JWT作为授权授予。见和。
这让我很困惑。为什么需要JWT身份验证作为一个单独的东西?在什么情况下/用例下需要JWT身份验证?
浏览 2提问于2013-01-12得票数 5
1回答
我有三个服务器:-授权服务器- api服务器-前端服务器
授权服务器返回JWT自包含访问令牌(+刷新令牌)。JWT不存储在授权服务器中的任何位置。我想用非对称加密保护JWT,我不确定我的想法是否正确。让我来描述一下流程:
从Fronted Server登录后,授权服务器获取用户凭据,然后生成JWT令牌并使用公钥对其进行编码。
Fronted Server接收加密的JWT令牌,客户端(web浏览器)将其保存为HTTP专用cookie。
客户端向安全资源发送请求,因此FrontEnd基于获得的编码JWT令牌,请求安全数据API。
基于安全JWT和私钥解密值的API,并检查用户是否有
浏览 0提问于2020-02-18得票数 1
1回答
我一直在阅读并尝试实现文档中的指示
以下是我所做的:
JWT::$leeway = 60;
$key = file_get_contents('location.json');
$time = time();
$payload = [
"iss" => "account email",
"sub" => "account email",
"aud"
浏览 0提问于2020-04-22得票数 0
我在没有任何数据库的情况下为我的个人使用做了一个API,我想在没有任何用户注册的情况下向该API添加令牌身份验证。我希望,可以生成一个JWT并将其发送到服务器,然后服务器可以验证JWT是否有效,然后发送一个响应,否则就会出现一个未经授权的错误。当我请求API的任何端点时,它必须检查。
提前谢谢。
浏览 3提问于2022-06-29得票数 0
我正在尝试使用下面的配置在我的停靠程序撰写文件中设置claims_map in HASURA_GRAPHQL_JWT_SECRET
HASURA_GRAPHQL_JWT_SECRET: '{"type":"HS256","key":"***************************","claims_namespace":"p-clamis-allow","claims_map":{"x-hasura-user-id":{"path":&
浏览 3提问于2021-06-25得票数 0
回答已采纳
1回答
因此,我将使用API设置一个面向公共的API,在这里我将拥有后端lambda资源来处理每个路由的逻辑(解耦的微服务)。
我应该在JWT中存储什么?目前,我已经禁用了所有读取属性,因此令牌只包含cognito:username,在我的数据库中,我将将其存储为每个用户的用户id。我的理解是,一旦正确地生成了JWT,我就可以通过API使用认知作为授权器,然后在lambda层接收到令牌JWT细节之后,我所需要做的就是使用cognito:username键在我的数据库中查找用户配置文件。
我应该在后端实现任何其他检查,还是依赖API网关来通过经过身份验证的请求是安全的?
谢谢!
浏览 1提问于2022-02-19得票数 0
我正在尝试在Dotnet中执行一个过滤器,以验证我所做的其他登录(Java)应用程序中的令牌JWT。基本的是,因此,接收令牌时,过滤器将获取令牌Jwt,并将其发送到其他Api中进行验证。我正试着去做,但我想不出该怎么做。我确实提出了另一种方法,但我不知道如何做正确的工作。
SendEmailController.cs类:
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
[ApiController]
[Route("[controller]")]
public class SendEmailContro
浏览 4提问于2020-05-23得票数 0
我有一个Spring Boot服务器,它通过使用谷歌作为身份验证提供者来执行整个OAuth 2.0授权流程。我使用Spring库,它已经为像OAuth和Facebook这样的提供商提供了OAuth端点的过滤器。
我有一个React前端,当用户单击登录时,它会打开一个新窗口,其中的URL指向服务器上的Google authorisation端点,从而启动此流程。
当服务器成功地对用户进行身份验证并从Google检索到JWT令牌时,我需要将此令牌传递回React前端并存储令牌,以便用户可以使用它向我的后端API发出授权请求。
据我所知,我无法让前端向后端发送get请求以获取令牌,因为OAuth授权
浏览 41提问于2021-05-09得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
