1回答
调用身份验证服务器以获取令牌时...我返回一个jwt令牌,包括其中的作用域(例如read:orders和write:orders),以及api标识符(../serv/api/v1/order)。当我使用then令牌时,我将其作为持有者令牌在身份验证头中传递。当我检查令牌是否有效时,我检查过期日期..如果被调用的API与audience相同,并且被调用的端点的<
浏览 26提问于2021-03-29得票数 0
2回答
我正在向我现有的应用程序中添加一个OAuth授权服务器端点。我计划从OAuth令牌端点发出JWT。当为特定OAuth作用域发出令牌时,最好将发出令牌的范围嵌入到令牌本身中,因为当客户机稍后使用发布的令牌执行某些操作时,更容易验证令牌是否具有执行特定操作的访问权限。但是,JWT的似乎没有包含一个合适的字段来标记OAuth作用域。
浏览 0提问于2018-10-26得票数 3
回答已采纳
2回答
我有一个自定义的Authorize类,用于在用户从服务器请求数据或任何东西时使令牌失效。 var token = tokenHandler.WriteTok
浏览 0提问于2019-02-11得票数 1
回答已采纳
1回答
我是JWT新手,我想知道当用户签出应用程序时,是否有可能使服务器端的JWT失效/无效(我还想知道这样做是否有意义!)想法是:
现在,没有人可以再使用那个JWT了。我不确定这是否是一种非
浏览 2提问于2018-01-08得票数 3
回答已采纳
我在我的项目中使用go-guardian和JWT的“基本持有者”策略进行身份验证,效果非常好。当客户端没有令牌时,他使用他的凭据登录并接收JWT,然后他可以使用该JWT进行进一步的请求,如下面的请求: $.ajax({ error: onError
}); 但是,我想知道当客户端遇到/auth/
浏览 25提问于2021-03-16得票数 1
我已经创建了AccessToken (JWT令牌),我想在重置密码/更改密码时使该令牌无效(即:旧的accessToken应该是无效的,新的应该是有效的)
浏览 121提问于2018-06-06得票数 3
1回答
我有两个问题不能完全解决,希望有人能解释清楚:他说:假设您已经创建了一个应用程序,可以在您的计算机和平板电脑上使用。首先,您将在您的计算机上获得一个访问令牌,该令牌</em
浏览 1提问于2016-01-19得票数 2
回答已采纳
3回答
我使用JWT创建一个node.js后端应用程序。对我来说,要求很简单,授权令牌不应该有任何过期时间。但是,当用户更改其密码时,我在使JWT无效时遇到了问题。当用户更改其密码时,我将创建一个新的JWT令牌,并删除旧的令牌,但用户仍然可以使用其旧的JWT令牌(从其他登录的设备),并且可以访问应用程序。
那么,谁能告诉我如何避免这种情
浏览 5提问于2016-05-26得票数 7
回答已采纳
1回答
火基会话失效
、、、
我在应用程序和服务器中使用自定义令牌进行身份验证。旧的Firebase有一个选项来为其所有令牌配置会话过期时间,因此当会话到期时,客户端必须从服务器请求一个新令牌,从而每次都创建令牌再生周期。声明令牌到期参数仅适用于令牌本身,并且用户一直登录直到他登录或会话无效为止。
Android中的方
浏览 2提问于2016-07-11得票数 3
我已经使用以下命令创建了一个令牌: IdentityOptions identityOptions = new IdentityOptions(); var signingCredentials = new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256);
var jwtsigningCredentials, claims: claims, expires: DateTime.Now.AddHours(12)); 您能帮助我如
浏览 210提问于2021-04-30得票数 1
我有一个关于验证azure active directory令牌的问题。我使用我的application_id以及用户的用户名和密码来接收令牌。然后我会验证它,但它会导致一个无效的签名。result = getAccessToken(userName, password); DecodedJWT jwt我尝试使用jwt.io手动验证令牌,当我将kid声明与上的证书进行比较时,我粘贴了
浏览 41提问于2021-05-21得票数 1
4回答
我已经生成了用于用户身份验证的Flask令牌,但在登出时,我希望使令牌失效。现在它允许在注销后进入路由。@app.route('/logout', methods=['POST'])def logout(): user.authenticated
浏览 6提问于2017-06-08得票数 8
回答已采纳
2回答
处理偷来的JWT?
、、、、
我正在构建一个具有jwt身份验证的nodejs服务器。如果攻击者侦听连接(我已经在使用ssl)并获取令牌怎么办?即使用户注销并在下一次会话中获得一个新令牌,攻击者也可以使用旧令牌模拟用户,只要它有效,对吗?将用户的“当前”令牌的IAT存储在DB中,并将其与请求中
浏览 1提问于2018-10-25得票数 1
2回答
JWT刷新和访问令牌
、、、
我在我的项目中使用jwt令牌。长寿命刷新令牌,用于对受保护资源的身份验证和短期访问令牌。刷新令牌保存在仅限http的cookie中,以降低xss攻击的风险。访问令牌将只存储在我的前端的vuex存储中。如果用户更改密码,我应该更新刷新令牌吗?我不将刷新令牌存储在数据库中,因为正如我所理解的那样,jwts的主要目的是我可以使用加密技术来验证传入的刷新令牌,而不必在数据库中查找它(然后我就根本不用使用jwts了)。但是,如
浏览 3提问于2021-10-29得票数 0
回答已采纳
我在ASP.Net MVC Web API 2中使用JWT。在这个Admin中,移动应用程序用户可以访问各个部门。我在登录时在Claims中设置了这些DeptIds。现在我的问题是,当管理员从应用程序用户撤销任何特定部门的访问时,我应该如何使该用户的access_token过期,以便在登录请求调用时,我可以设置新的Claims。我在web上没有找到任何关于如何在JWT中使令牌过期的东西。有人能帮上忙吗?
浏览 1提问于2016-10-25得票数 5
我试图验证我的json令牌,但我做不到,Header: "alg": "HS256",}{ "name": "XXXXXX",}我的问题是,当我试图操作JSON<
浏览 7提问于2022-01-29得票数 1
1回答
服务器上的JWT登录流和令牌验证
、、、、
在服务器上验证令牌的正确方法是什么?我在我的应用程序中使用了jwt令牌机制,到目前为止它是如何工作的:
我想我漏掉了什么东西。阅读其他博客文章,我认为<
浏览 1提问于2016-02-27得票数 4
1回答
Auth0管理/用户服务
、、、
通过向我的控制面板中的api添加write:messages作为一个作用域,它将被请求并为每个用户设置。然而,现在初始作用域已被删除,例如'openid读取:消息‘等
我到底哪里出错了?如果用户是管理员,我希望为现有的作用域分配add。对于作用域/索赔,这甚至是正确的过程吗?
浏览 2提问于2017-07-12得票数 0
回答已采纳
3回答
我正在开发一个使用JWT令牌身份验证的API。我在其背后创建了一些逻辑,以便使用验证码来更改用户密码。关于如何在密码更改后刷新/无效令牌,有什么建议吗?编辑:我有一个关于如何做的想法,因为我听说你实际上不能使J
浏览 1提问于2018-09-24得票数 9
回答已采纳
我熟悉Web和cookies,但我不知道存储身份验证令牌的最安全方法是什么。我想知道这会不会破坏任何第三方图书馆。
浏览 3提问于2018-02-09得票数 30
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
