腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
使用用户的密码哈希作为刷新令牌(在JWT中使用密码哈希)?
authentication
、
jwt
、
oauth2
我正在建立一个我想要安全的认证系统。我计划使用JWT令牌作为主要的身份验证机制。当令牌过期时,服务器将返回"401未经授权“响应,我希望客户端能够执行无声刷新。这通常是使用刷新令牌完成的。我想知道使用用户密码哈希作为刷新令牌会带来什么安全影响? 除此之外,我还计划在JWT中包含密码哈希。当验证JWT时,我的应用程序将检查JWT中的密码哈希是否与用户当前的密码哈希匹配。如果它们不同,服务器将告诉客户端将用户注销。 在这个过程中是否有我遗漏的安全漏洞?
浏览 0
提问于2020-04-15
得票数 2
2
回答
将JWT存储在基于会话的cookie角6中
angular
、
cookies
、
jwt
、
session-cookies
、
auth0
我对角度开发很陌生,我想知道存储JWT的正确方法是什么? 我正在使用Auth0认证在角6.1单页应用程序中开发应用程序。 身份验证完成后,Auth0返回一个JWT (访问令牌(Jwt)),然后应用程序将其存储在本地存储中。然后,客户端应用程序对api中的授权修饰方法(MVC C#)进行post调用,以验证对api资源的访问。api使用OWIN并进行验证。 虽然访问令牌中有颁发者和访问者的值,这是由OWIN中间件检查的,但我担心的是,任何人是否可以从本地存储访问它,并在以后重新使用它,并通过传递登录过程? 我是否应该将"access_token“存储在服务器端的会话cookie中? 如有
浏览 2
提问于2018-09-13
得票数 2
2
回答
基于Cookie的vs基于会话的与基于令牌的和基于声明的身份验证
authentication
我读过关于身份验证的文章,并且对类型分类感到困惑。 让我们从基于Cookie的身份验证开始,如果我理解得对,关键是用户身份验证所需的所有数据都存储在Cookie中。这是我第一次困惑:在饼干里我们可以储存 会话id,所以它变成了基于会话的身份验证? 声明,所以它应该被称为基于索赔的身份验证吗? 我发现有些人甚至在cookie中存储JWT令牌,但这似乎是自己的auth流的自定义实现. 现在,让我们切换到基于索赔的身份验证。主要元素是索赔,索赔的收集可以用作容器。 cookies (如上文所述) token (JWT作为示例)。 另一方面,当我们谈论令牌的时候,它可能包含任何信息.例如会话Id ..
浏览 0
提问于2017-06-03
得票数 34
回答已采纳
1
回答
如何克服Jwt tocken验证中的安全漏洞
asp.net-core
、
jwt
我使用了jwt token保护angular应用程序,在后端,我们使用了asp.net核心API。登录成功后,我们将令牌保存在web浏览器内存的本地存储中,然后从应用程序注销,只需将令牌从浏览器内存中删除即可。 我们可以阻止用户通过应用程序访问应用程序,但如果有人拥有令牌,他可以使用postman和其他api测试工具访问端点。我们如何克服这个problem.Is ?有什么方法可以手动删除令牌或使令牌过期?
浏览 21
提问于2019-07-10
得票数 2
回答已采纳
4
回答
JSON Web令牌(JWT):授权与身份验证
java
、
json
、
authentication
、
jwt
JWT术语一直困扰着我,原因有几点。JWT是否适合授权,还是仅用于身份验证? 如果我错了,请纠正我,但我一直认为授权是允许某人访问资源的行为,但是JWT似乎没有任何实际允许用户访问给定资源的实现。所有的JWT实现都是为用户提供一个令牌。然后,通过对后端服务端点的每次调用传递此令牌,在该端点中检查其有效性,以及是否授予有效访问权。因此,我们可以对任何用户的Authentication使用JWT,但是我们如何限制对特定有效用户的访问? 我们如何使用JWT来根据用户的角色限制几个用户呢?JWT是否也提供了任何类型的授权细节,还是仅仅提供了我们的身份验证? 提前感谢你的帮助和耐心地阅读我的怀疑。
浏览 0
提问于2018-01-22
得票数 25
1
回答
LDAP方案解释
security
、
oauth
、
token
、
openid
、
jwt
我试图系统地了解oauth + jwt + LDAP授权。我读过多篇优秀的文章(即),但仍有一些关于这方面的问题: 我的理解是: JWT是允许单点登录(SSO)的令牌。它比简单的令牌更安全,因为它加密了所有特定于用户的信息(例如userName、密码、clientAppId、ip地址等)。此信息由内部授权服务器密钥签名,攻击者不能更改。 从,请看下面的短语。正如我所理解的,这意味着每个HTTP前端服务器都不需要查找会话数据。但是它需要查找授权服务器。有什么好处?这不是同一个单一的失败点吗?为什么JWT被认为是STATEless?JWT仍然需要将用户数据保存在权威服务器上,
浏览 2
提问于2016-12-07
得票数 11
回答已采纳
2
回答
如何在React中获取HTTP-only cookie?
node.js
、
reactjs
、
cookies
、
redux
、
jwt
我目前正在开发一个MERN堆栈应用程序,我使用的身份验证是JWT,并将其保存在我的cookie中。这就是我在用户登录后发送cookie的方式。 res .cookie("token", token, { httpOnly: true, secure: true, sameSite: "none", }) .send(); 我通过在后
浏览 128
提问于2021-08-29
得票数 1
1
回答
如何使用JWT注销
authentication
、
jwt
、
authorization
、
logout
我使用JWT进行身份验证和授权。但是我不知道在注销路径中写什么。我已经搜索了很多次,但没有找到要填写的注销路径。这是我的代码。请帮帮忙。 const jwt=require("jsonwebtoken"); const jwtKey="My_admin_is_safe"; app.get('/admin',(req,res)=>{ res.render('LoginAdmin',{erru:"",errp:""}); }); app.post('/admin/login'
浏览 47
提问于2020-06-30
得票数 0
2
回答
刷新token google api php库
api
、
cookies
、
refresh
、
token
在我的web应用程序中,我使用google api php客户端来访问google任务。我遵循了一些教程,比如。 $client = new Google_Client(); $tasksService = new Google_TasksService($client); $client->setAccessType('offline'); $cookie = $_COOKIE["token1"]; if(!empty($cookie)){ $client->refreshToken($cookie); } else{ $cl
浏览 3
提问于2013-04-11
得票数 0
1
回答
使用JWT和spring boot跟踪用户活动的最佳方法
angular
、
spring
、
spring-mvc
、
session
、
jwt-auth
我现在处于需要澄清的情况下。我已经使用Angular 8为前端开发了一个全栈web应用程序,并使用Spring boot开发了web服务。 我已经使用JWT token实现了身份验证和授权,这里一切正常,但我无法维护状态,即用户登录或注销时的状态。 我无法维护会话,该会话在用户登录时有效,在用户注销时无效。 因此,如果有人能告诉我如何实现会话或任何其他东西,我可以通过它们知道哪个用户在任何特定时间登录或注销。
浏览 0
提问于2020-08-08
得票数 0
3
回答
OAuth 2.0访问令牌可以是JWT吗?
oauth
、
oauth-2.0
、
access-token
、
jwt
据我所知,在access token应该采取的形式方面非常模糊: 令牌可以表示用于检索授权信息的标识符,也可以以可验证的方式自包含授权信息(即由某些数据和签名组成的令牌字符串)。为了使客户端使用令牌,可能需要超出本规范范围的其他身份验证凭据。访问令牌提供抽象层,用资源服务器理解的单个令牌替换不同的授权结构(例如用户名和密码)。此抽象使发出访问令牌的限制比用于获取访问令牌的授权授权更加严格,并消除了资源服务器理解各种身份验证方法的需要。访问令牌可以基于资源服务器安全需求具有不同的格式、结构、和使用方法(例如,加密属性)。访问令牌属性和用于访问受保护资源的方法超出了该规范的范围,是由辅助规范(如
浏览 4
提问于2015-04-17
得票数 25
回答已采纳
1
回答
何时在ASP.NET核心SPA应用程序中获取JWT令牌
asp.net
、
asp.net-core
、
jwt
我有一个ASP.NET核心应用程序的反应前端,我正在试图找出什么时候,如何得到一个JWT token。 我已经实现了生成和返回JWT所必需的后端工作,但我不确定在用户身份验证之后何时以及如何获得令牌。 我有一个使用社交登录的登录页面。一旦社会提供者对用户进行了身份验证,调用将返回到我的Callback()操作方法,该方法从社会网络接收cookie,这是我工作的地方,以确保用户是注册用户。 目前,我销毁了社交cookie,创建了自己的cookie,并将其重定向到主页,用户只需下载包含所有前端响应内容的JS文件。 只是不知道如何在我的JWT token方法中返回一个Callback()时进行重定向
浏览 0
提问于2018-05-11
得票数 1
回答已采纳
2
回答
处理JWT过期和JWT有效载荷更新
javascript
、
node.js
、
jwt
、
koa
我有一个基于Koa的Node.js后端用于我的个人/业余爱好应用程序。 我用JWT令牌实现了会话处理。客户端(AngularJS)在成功登录后获取令牌,并将令牌存储在某个地方(目前在sessionStorage中,但出于这个问题的目的,这不重要)。 我有两个问题: 当我需要更新JWT所代表的用户记录时,比如说,用户打开了双因素身份验证(2FA),所以我要求他提供他的电话号码,我想在用户的记录中设置这个电话号码。目前,在成功验证电话号码之后,我调用后端更新用户记录,并使用更新的用户记录创建一个新的JWT令牌(我将敏感信息排除在JWT令牌中,比如散列密码,但我希望包括用于客户端使用的电话号码)
浏览 6
提问于2016-10-03
得票数 10
1
回答
这一用户身份验证过程是否合理?
reactjs
、
architecture
、
jwt
、
access-token
、
refresh-token
我一直在开发与安卓、iOS、RESTful浏览器等跨平台客户端进行通信的Web服务器。 当用户使用用户名和密码成功登录时,此服务器将发出访问令牌(JWT,5分钟)和刷新令牌(GUID,20天)。 当我们开发与服务器通信的安卓客户端应用程序时,我们只需将这些令牌存储在移动设备中,我相信这在安全性方面不会有问题(使用SharedPreferences)。 但当涉及到Web浏览器(React App)时,我必须解决在哪里存储这些令牌的问题。最后,我决定使用HttpOnly Cookie,因为我可以轻松地管理CSRF攻击而不是XSS。 很快,我怀疑这是一个典型的设计。例如,web浏览器用户不能随时注销
浏览 0
提问于2018-11-07
得票数 0
5
回答
可以有多个腾讯云帐号认证为同一家企业吗?
企业
、
腾讯云帐号
已经有个腾讯云帐号,脑子迷糊用私人qq号注册的,还完成了企业认证, 后面如果有技术团队了,那不就意味着这个私人qq号要拿出来给团队用。所以想重新申请个腾讯云帐号,做企业认证时能通过吗?(前面已经有一个腾讯云帐号认证为这家企业)
浏览 3233
提问于2017-09-14
1
回答
如何避免在登录时获得多个cookie
node.js
、
amazon-web-services
、
amazon-cognito
我们正在使用AWS进行身份验证。该项目包含一个API服务器和一个web服务器。在客户端,用户登录到应用程序,通过AsureAD返回一个JWT访问令牌。当用户从应用程序中注销时,我们将删除cookie,并将其从定位系统中签出。 我的问题是,当用户登录到应用程序时,我们只需要创建一个访问令牌。但它能造出两个..。 async logout(req, res, next) { try { res.header('set-cookie', `SessionCookie-0=; Path=/;`); } catch (error) { next(appendEx
浏览 3
提问于2022-02-07
得票数 0
2
回答
将JWT存储在数据库中有意义吗?
spring
、
rest
、
security
、
oauth-2.0
、
jwt
我实现了一个基本的认证系统,使用Spring Boot、Spring Security、OAUTH2和JWT作为认证令牌。它工作得很好,但我在想,是否有必要将JWT存储在数据库中,并在每次有人使用令牌进行身份验证请求时检查令牌是否存在?我特别考虑了以下场景:用户在移动设备中进行了身份验证,但他们丢失了身份验证,因此他们希望取消对该设备的授权。然后,他们将能够发出一个操作,该操作清除发放给他们的用户id的令牌,并解除对分配给他的所有令牌的授权。还有别的办法吗?我是不是想错了,还是把事情复杂化了? 这是为了保护将要从移动应用程序调用的REST API。
浏览 0
提问于2017-03-13
得票数 55
回答已采纳
2
回答
如何在用户登录时从前端获取身份验证令牌
javascript
、
node.js
、
express
、
jwt
、
jwt-auth
我试图构建一个简单的项目,用户可以从api中搜索电影,并在登录后将所选的电影添加到他们的"/movies“页面中。我使用Nodejs,mongodb,express作为后端,vanilla javascript作为前端。 当用户注册或登录时,我将创建一个JWT令牌并将令牌添加到数据库中。我的目标是将它们重定向到它们的主页,即"/user/movies“ 假设用户第一次登录,并且关闭了网站,在经过一段时间(不足以过期令牌)之后,用户再次打开网站并转到“/ user / first”(这需要身份验证)。 我的问题是,在重新访问()之后,如何仍然与用户一起保存经过身份验证
浏览 2
提问于2020-08-08
得票数 0
2
回答
如何在NodeJs中持久化用户登录?
javascript
、
node.js
、
reactjs
、
express
、
authentication
我已经用MERN栈构建了一个应用程序(Mongo,Express,React & NodeJs)。现在我正在研究如何建立一个认证系统。这里有大量的教程和视频,在这些教程和视频中,用户被认证的时间最多为24小时,然后必须重新登录。他们要么使用jwt,要么使用session与express-session类似的东西。然而,我使用的某些网站,我基本上是从来没有注销。 我真的很想自己创建一个系统,在这个系统中,用户至少要经过14到30天的身份验证,而不会被提示重新登录(理想的时间更长)。我在网上找不到关于如何长时间持久化用户登录的好资源。我知道,在建立这样一个系统时,涉及到大量的安全权衡。我还
浏览 1
提问于2022-03-02
得票数 0
1
回答
会话与基于令牌的auth的技术差异
security
、
authentication
、
session-cookies
、
jwt
、
express-jwt
我在写我的单身汉时,我需要找出哪种认证/授权方法最适合与我合作的公司。 因此,我一直在比较会话和基于令牌的auth方法,但是对于令牌是如何工作的以及它们如何优于会话身份验证,有几点我不清楚: 对我来说,唯一100%清楚的好处是,令牌可以从没有cookie存储的客户端中使用,并且可以与不同的子域和完全独立的域一起使用,因为它没有阻止浏览器使用CORS策略。 我读到,所有cookie都与每个请求一起发送到原始域(除非将cookie设置为仅在安全连接上发送),这意味着一个令牌将在请求中出现两次,当然,除非您验证来自另一个域的用户。这是正确的假设吗? 令牌如何验证服务器端?解密后,它是根据用户
浏览 0
提问于2016-11-29
得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
基于 Token的WEB 后台认证机制
JWT认证看这一篇就够了
一步步带你了解前后端分离利器之JWT
「JWT」,你必须了解的认证登录方案
jwt思维导图,让jwt不再难懂
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券