腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
理解JWT和刷新令牌方法
authentication
、
jwt
我读过几篇文章,这些文章介绍了刷新令牌和JWT令牌的设置 在如何/何时获得下一个JWT令牌方面有最佳实践吗? 在我看来,有几种不同的方法。我将无视这篇文章的授权。 登录和认证 在每个服务器请求中,提取一个新的JWT并刷新cookie令牌。 或 登录和认证 如果对服务器的请求由于未经身份验证而失败,则尝试获取新令牌。如果这是成功的,重复原始请求,否则,假设没有登录。 另一种方法是 登录和认证 有一个轮询任务,每n分钟执行一次。在JWT到期之前,刷新并提取一个新令牌。 我知道,在软件中,我们有能力根据我们试图解决的问题,以不同的方式来处理问题。但是,它确实觉得这一定是软件社区已经尝试和测试过的东西
浏览 0
提问于2021-10-25
得票数 0
回答已采纳
1
回答
使用React处理JWT身份验证
reactjs
、
rest
、
authentication
、
jwt
我正在尝试使用JWT进行身份验证的React应用程序,我不知道如何规划它,例如: 步骤1:用户成功登录应用程序,获取保存在localStorage上的JWT令牌。 步骤2:一旦用户登录,路由改变并请求REST,请求将使用先前保存的令牌进行身份验证。获取的数据现在处于状态。 步骤3:应用程序还有其他路由,实际上只是过滤以前获取的数据,所以我认为仅仅为了检查auth而发出新请求只会使事情变得更慢。 我想知道一个很好的方法来处理这个问题,也许过一段时间后再检查一下。或者,正确的做法是在每一条路由更改时发出请求,只为了检查用户是否仍然经过身份验证?
浏览 0
提问于2018-05-10
得票数 0
1
回答
如何正确处理JWT刷新?
java
、
rest
、
jersey
、
jwt
、
auth0
我有一个android应用程序。它与用REST API开发的Jersey连接。我的休息结束点使用令牌进行保护。下面是我是如何生成它们的。 Algorithm algorithm = Algorithm.HMAC256(secret); String token = JWT.create() .withClaim("userName","myusername) .withExpiresAt(expirationDate) .sign(algorithm); 下面是我如何验证令牌 public boolean validateTokenHMAC256
浏览 2
提问于2017-03-29
得票数 12
回答已采纳
2
回答
自定义API的OAuth2
php
、
api
、
rest
、
oauth-2.0
、
laravel-4
我正在尝试为我正在创建的API使用OAuth2,但可能需要对流程的工作方式进行一些解释。我也发现了类似的问题(例如:),但它们并没有清楚地说明关于第三方登录的问题。 我不希望使用OpenID (无论如何),特别是当委托身份验证工作得很好的时候。它看起来过于复杂,并且没有很多支持良好的库。(我使用PHP + Laravel 4) 这个问题被分成4个实体: 资源所有者-最终用户 客户端浏览器(我的网站),移动应用,或类似的 授权服务器-我的OAuth2服务器 资源服务器-我的API。服务用户数据。 我想我已经知道了当用户在我的auth服务器上创建一个帐户并使用该帐户登录时的
浏览 1
提问于2013-07-25
得票数 6
1
回答
如何根据当前用户的登录信息修改数据
angular
、
typescript
、
angular6
我正在尝试使用Angular 6为股票管理系统实现一个用户登录系统。用户凭证存储在数据库中,我可以将其放入一个组件(登录)并验证它们。成功登录后,我将页面路由到User组件。现在,我希望能够显示每个用户的特定数据,保留组件的视图。任何关于如何实现这一点的方向都会非常有帮助。谢谢!
浏览 0
提问于2018-09-20
得票数 0
1
回答
羽毛中使用JWT的身份验证和会话处理
authentication
、
jwt
、
feathersjs
我们使用的是用于实时应用程序和REST的羽毛We - 框架。用户名密码是标识提供程序,我们正在使用它进行JWT身份验证。 我们可以使用JWT,引用链接创建访问令牌- 这个accessToken现在可以用于其他需要认证的REST请求,方法是发送授权:承载HTTP报头。 正如默认情况下所提到的,JWT有效负载中存储羽毛的唯一东西是用户id。它是一个有状态的令牌,但在JWT有效负载中找不到相同的引用。 我们还能够使用链接撤销JWT访问令牌--我们使用的是。 现在的问题是这个JWT访问令牌存储在哪里,这个JWT是无状态的还是状态的。 如果这个JWT是状态的,那么我们真的需要在我们的节点js应用程序中维
浏览 2
提问于2020-01-30
得票数 0
回答已采纳
1
回答
在响应体中返回JWT令牌给GET请求带来的安全风险?
csrf
、
jwt
、
same-site-cookies
在响应体中将用户的JWT返回到GET请求是否存在安全风险?只为经过身份验证的用户返回JWT。身份验证通过存储为HttpOnly、Secure、SameSite:Lax cookie的JWT进行管理。 流程,详细: 用户向GET请求my.com/api/session。请求包括上面提到的用户的JWT cookie。 服务器验证身份验证cookie,并且--对于经过身份验证的用户--在响应体中返回JWT。 在不支持SameSite:Lax的浏览器中是否存在CSRF攻击的风险?在这种情况下,恶意站点是否可以向GET请求my.com/api/session,并且--如果用户登录到我们的站点--该请求中
浏览 0
提问于2021-11-16
得票数 1
回答已采纳
1
回答
如何在django rest框架中使用jwt身份验证获取用户详细信息?
python
、
django
、
jwt
我正在尝试使用JWT令牌身份验证获取用户详细信息。我能够使用BasicAuthentication和JsonWebToken身份验证来获得它们。我正在尝试使用JWT获取细节。 class PermissionView(APIView): permission_classes = [IsAuthenticated] authentication_classes = [BasicAuthentication,JSONWebTokenAuthentication] def get(self, request,format=None): data = {
浏览 2
提问于2016-12-29
得票数 1
2
回答
创建URI模式匹配器以允许/禁止解码JWT
java
、
spring-boot
、
spring-security
我是Spring Boot和Spring Security的新手,我正在构建一个RESTful API服务,允许用户在应用程序上进行注册、登录和其他操作。 我正在使用JWT进行声明验证,每次我的用户使用除登录和注册之外的API时,我都会传递令牌。因此,我将允许在不传入JWT的情况下访问这些API,但对于其余部分,如果JWT未通过,我希望直接拒绝请求。 我只有一个控制器,就是映射到路径/api/user的UserController。它将为以下API提供服务- /sign-up。这是一个POST方法。我希望它允许在不需要传递JWT的情况下访问它。 /verify/{verificationCo
浏览 13
提问于2019-06-01
得票数 0
回答已采纳
2
回答
JSON网络令牌-如何识别用户?
c#
、
asp.net-core
、
jwt
、
backend
、
asp.net-core-webapi
基本上,我使用的是JWT身份验证,在成功登录之后,我将返回JWT令牌、Expiration时间和用户GUID (应该吗?) 让我们举个例子: 我有一个端点,它返回需要经过身份验证的用户特定数据。 那我该怎么做呢? 就这么说吧 user1生成了他的jwt:"a.b.c“ user2生成了他的jwt:"c.b.a“ 如何确保user1不会使用他的JWT访问用户的2数据? 我考虑过(正如我前面提到的)发送带有JWT令牌的用户GUID,并使用它作为识别该用户的一种方式,但是如果有人有其他GUID,那么他将能够操纵他的数据,这是不好的。 提前谢谢。
浏览 0
提问于2018-07-19
得票数 3
回答已采纳
2
回答
将多个passportjs提供程序保存到mongodb中的同一个用户文档中
node.js
、
mongodb
、
passport.js
我有一个我无法解决的问题。我正在用nodejs开发一个应用程序,使用mongodb、高速公路和passportjs作为我的身份验证中间件。 我目前有三个策略: facebook、twitter和instagram。我想要实现的是,当用户首次登录时,如果用户使用一种策略登录,并使用另一种策略登录,则将配置文件保存到同一个mongodb用户文档中。 这是我的auth/index.js: require('./local/passport').setup(User, config); require('./facebook/passport').setup(User,
浏览 1
提问于2015-05-07
得票数 0
回答已采纳
1
回答
如何从安全性的角度处理页面刷新
angular
、
authentication
我正在努力理解/解决的情况。 我有一个角度SPA,提示用户登录时,应用程序第一次加载。 一旦用户成功登录,服务器除了返回CSRF令牌外,还返回cookie。 cookie可以只包含sessionID或JWT令牌。 如果用户刷新页面,则提示用户在数据丢失时再次登录。 在做研究的过程中,我读过一些文章,比如和其他几篇。 在试图排除这些文章的个人偏见的过程中,我收集到的安全原因如下 为了避免XSS攻击,绝不能将会话ID提供给客户端javascript。这通常是通过存储会话id或JWT令牌的cookie上的HttpOnly标志完成的。 虽然您可以在会话存储中存储令牌
浏览 0
提问于2019-07-23
得票数 2
回答已采纳
1
回答
如何在net 3和标识服务器上使用应用程序-auth模板接收当前用户
authorization
、
identityserver4
、
create-react-app
我从来没有使用身份服务器,我想知道如何接收当前的用户信息,如果他们已经通过认证使用never 3。 使用裸骨创建react应用程序-auth天气应用程序模板 在WeatherForecastController中,我们有授权属性: [Authorize] [ApiController] [Route("[controller]")] public class WeatherForecastController : ControllerBase 具有以下端点: [HttpGet] public IEnumerable<WeatherForecast> Get() 如果
浏览 1
提问于2020-06-16
得票数 0
回答已采纳
1
回答
JWT和react,其中react从令牌获取信息。
reactjs
、
jwt
问题如下。将数据输入注册/登录表单后,react将请求发送到服务器,作为响应,它获取jwt-令牌并将其放入localStorage。但是如何与令牌进一步交互,需要对令牌进行解密呢?例如,当我想要获得用户的角色(这个角色被放入令牌中),并根据角色分别呈现页面时,我需要从令牌中获取数据。同样,要获取此数据,令牌将在客户端解密?(React)
浏览 1
提问于2021-10-19
得票数 0
回答已采纳
2
回答
如何使用spring boot登录/注销?
java
、
spring
、
spring-boot
、
authentication
、
postman
我正在尝试使用spring boot登录和注销系统,我有一个包含用户信息的数据库类,我在POSTMAN中使用HTTP请求注册用户,我的问题是如何使用GUI/Web/HTML,仅在POSTMAN中登录和注销用户,并防止用户请求特定的URL,除非他们已登录?
浏览 1
提问于2020-04-20
得票数 0
1
回答
基于Web2py JWT的身份验证刷新令牌
python
、
web2py
对于一些构建在Web2py上的REST,我正在尝试实现基于令牌的身份验证。我正在使用版本2.14.6(稳定)。正如文档中提到的,我遵循了这些步骤,并能够使用JWT从受身份验证的受保护资源中验证和检索数据。我已经完成了以下步骤: from gluon.tools import AuthJWT myjwt = AuthJWT(auth, secret_key='secret', user_param="email") def login_take_token(): return myjwt.jwt_token_manager() @myjwt.allo
浏览 3
提问于2017-08-11
得票数 0
回答已采纳
1
回答
无法使用JWT身份验证访问泛型视图
reactjs
、
django
、
authentication
、
jwt
我迷失了方向--我有一个django的后端,并且有前卫。在前端,我有一个登录页面,它设置了一个JWT令牌,我使用该令牌从django后端查询数据。这一切都很完美。 但是,我也可以通过一些简单的直接查看这些API,这只会显示这些表的默认django视图(即:分页的"select * from data“调用).并通过genericListAPIView上钩。 现在,就像我说的,当通过一个卷曲命令(或者邮递员,或者诸如此类)给它喂食时,一切都很好。我获取JWT令牌,在随后调用API时将其设置为授权访问权限,并返回数据并使用Authorization执行一些操作。 我似乎无法理解的是,在调用
浏览 4
提问于2022-07-28
得票数 1
回答已采纳
1
回答
与php服务器通信的react本机ios的auth0身份验证
php
、
react-native
、
jwt
、
auth0
、
react-native-ios
我正在创建一个反作用本机ios应用程序,它与一个在azure上托管的php web应用程序进行通信。 我是怎么理解的: 用户注册应用程序,服务器与auth0服务器通信,后者将JWT令牌返回给php服务器,将令牌保存到数据库,然后将令牌发送回客户机设备,然后将令牌存储在设备上。 每当与服务器通信时,用户必须将JWT令牌作为头发送。 每当用户注销令牌时,当登录时,必须接收一个新的JWT。 用户可以使用与数据库中的内容相匹配的凭据登录,也可以通过Google或facebook登录。 还是Auth0仅仅是为了与Google这样的企业签约,或者我可以用它登录到我的应用程序,该应用程序
浏览 5
提问于2017-03-08
得票数 0
回答已采纳
1
回答
为什么我在使用Guzzle做多个请求时会得到cURL错误77?
php
、
guzzle
、
zoom-sdk
我尝试使用Guzzle发出多个请求,但当我尝试获得响应时,我总是得到一个cURL 77 error。我正在使用JWT连接到Zoom API。我有一个包含700个条目的数组,因此对于每个条目,我尝试使用传递jwt令牌的getAsync创建一个请求。 我的代码是这样的: foreach ($agrupado as $registro) { $requestArr[$registro['id']] = $cliente->getAsync('https://api.zoom.us/v2/webinars/'.$id.'/registrants/'
浏览 56
提问于2020-07-17
得票数 1
回答已采纳
1
回答
Google +用laravel登录
api
、
laravel-4
、
google-plus
、
google-api-php-client
我一直在为G+与laravel的登录而挣扎,我已经使用composer下载了php。我还使用JavaScript登录,一旦用户登录,我就将他重定向到从JavaScript到/gLogin?email=abc@gmail.com&name=John Doe的一条路由,在该路由中,我有以下代码。 $user_profile['email']=Input::get('email'); $user_profile['name']=Input::get('name'); $user_id=DB::table(
浏览 1
提问于2014-06-29
得票数 0
回答已采纳
1
回答
使用JWT和facebook登录Symfony 4 Restful
php
、
symfony
、
jwt
对于使用JWT和Facebook进行restful应用程序的身份验证,我有一个问题。 我使用Symfony 4和身份验证“lexik/ jwt -身份验证-bundle”:"^2.6",根据用户名和密码生成jwt令牌。 下面是我的配置security.yaml: security: encoders: App\Entity\User: bcrypt providers: database: entity: class: App\Entity\User
浏览 6
提问于2020-01-18
得票数 2
1
回答
使用JWT保护WebAPI
azure
、
wif
、
azure-acs
我正在尝试编写一个移动应用程序,将从一个webapi rest的网站上获得数据。 网站应通过ACS进行保护(因为可以有多个身份提供商)。 我的移动应用程序目前正在查询以下url 以获取IP列表。 然后,我允许用户选择IP,然后使用web浏览器控件向他们显示登录。 一旦用户登录,我捕获响应并提取令牌,但现在我不确定我应该做什么。令牌如下所示:- {"appliesTo":"http://****.azurewebsites.net/", "context":null, "created":1362069383, "expir
浏览 0
提问于2013-03-01
得票数 6
回答已采纳
1
回答
快递js看不到cookie,那是在呼叫路由之前设置的。
node.js
、
express
、
cookies
、
yii2
、
session-cookies
当登录到我的Yii2 + angularjs页面时,我用用户数据创建cookie: $jwt = JWT::encode(array(1,2,3), 'myKey123') setcookie('myData', $jwt, time() + 3600); 我想在我的nodejs + express应用程序中访问它--在处理请求之前,我必须检查,如果用户没有更改'myData‘cookie。我现在就是这样做的: app.use(cookieParser()); app.get('/*', function (req, res, next
浏览 3
提问于2017-05-09
得票数 0
回答已采纳
3
回答
在验证前使用JWT有效负载
jwt
我正在将JWT集成到我的服务中,移动客户端将使用它。其思想是将用户id包含在有效负载中,并在客户端使用用户的私钥登录。然后,在服务端,提取用户id并使用公钥验证签名。基于在验证之前如何提取JWT有效负载的问题,似乎有相当多的人这样做。但另一方面,经常有人说“在信任JWT中的任何信息之前,总是先验证签名”。 实现这一点的正确方法是什么?我是否应该将用户id和签名包含在有效负载中,然后使用客户端私钥对其进行签名?
浏览 0
提问于2018-02-28
得票数 2
1
回答
如何在SPA加载期间验证和更新JWT id_token?
node.js
、
jwt
、
single-page-application
、
openid-connect
、
oauth2orize
我对OAuth 2.0和OpenID Connect非常陌生,我很难理解流程的某些部分(或者我应该使用什么最佳实践)。 很抱歉发表了这么长的文章:) 我的设置: OP (OpenID Provider),它基本上是一个使用oauth2orize-openid和passport对用户进行身份验证和授权的express服务器。我们叫它http://authserver.com吧 需要根据我的Single page application (react+webpack)对用户进行身份验证的react+webpack,让我们称之为http://my-spa.com 由于这是一个SPA
浏览 10
提问于2017-01-05
得票数 3
回答已采纳
5
回答
JWT和one(!)每个用户的会话/没有并发会话
session
、
single-sign-on
、
single-page-application
、
jwt
我们当前的应用程序使用HTTP会话,我们希望用JWT替换它。 设置只允许每个用户只进行一次会话。,这意味着: 用户在设备1 处登录 用户登录到设备1(新创建的会话) 用户在设备2 登录 用户登录到设备2(新创建的会话) 用户是而不是在设备1登录(会话被销毁) 这是因为会话id和用户id之间存在服务器端的关系。 使用JWT,我可以想象在用户数据库中有一些计数器,每次登录都会增加计数器,即: 用户在设备1 处登录 JWT令牌签名包含counter+1 (并将新计数器保存到数据库中) 用户在设备2 登录 JWT
浏览 4
提问于2015-02-23
得票数 14
回答已采纳
1
回答
如何正确处理标头中的JWT
javascript
、
node.js
、
express
、
jwt
我正在尝试在我的项目中设置JWT (后端是NodeJs,前端是Javascript )。 因此,在后端,当用户登录时,我会像这样发送令牌: [...] return res.send({ token, id: userId }) [...] 在我的前面,我在头上设置了比勒标记,如下所示: const data = { email, password } await instance.post('/signin', data) .then((res) => { ins
浏览 1
提问于2021-08-09
得票数 0
回答已采纳
2
回答
如果用户使用JWT在一段时间内没有活动,如何延长令牌过期时间?
jwt
给出了一个普通web应用程序.的示例 传统上,我们使用会话并设置超时值= 30分钟。如果会话到期,我们将重定向用户登录。(当用户/浏览器与web应用程序交互时,过期时间将被延长) 使用JWT,如何实现? 我了解一些关于“令牌刷新”的内容,当短时间令牌过期时,它将使用刷新令牌刷新一个新令牌。 但看起来它并不关心用户是否在与网络应用程序交互。因此,只要刷新令牌是活的,浏览器总是可以得到一个新的短命JWT。 因此,问题是:如果用户使用JWT在设定的时间段内没有激活,如何延长令牌过期时间?
浏览 5
提问于2016-07-27
得票数 4
回答已采纳
1
回答
无法为重定向NodeJS传递具有令牌的标头
node.js
、
get
、
http-headers
、
jwt
我在NodeJS的登录系统出了大问题。我创建了登录站点,当我登录的时候。当我检查登录名和密码是否正确时,我制作了jwt令牌。然后我想把它传递到头中,并通过get方法重定向到我的用户页面。我搜索了很多网站,但我不能解决这个问题。 这就是我想要做的: const token = jwt.sign({_id: id}, process.env.TOKEN); res.header('auth-token', token); res.redirect('/admin/admin_panel'); 我想像邮递员一样从事这项工作。我将内容类型和我的身份验证令牌设置为
浏览 0
提问于2019-12-09
得票数 0
5
回答
在Azure函数中使用JSON令牌(JWT) (不使用)
azure
、
jwt
、
azure-functions
我相信已经有人这样做了,但是我还没有找到任何关于微软JWT实现的文档。Microsoft为其JWT库提供的官方文档基本上是一个空页面,请参阅: 因此,以下是我(我相信还有许多其他人)想要实现的目标: 定义:用户ID =用于登录系统的用户名或电子邮件地址。 AUTHENTICATION: 用户登录。用户填写web表单,系统将用户ID和密码(哈希)发送(通过HTTPS帖子)给服务器,以便对用户进行身份验证/验证。 服务器验证用户身份。根据保存在数据库中的值检查用户ID和密码,如果无效,将向调用方返回无效的登录响应。 创建一个JWT令牌-??没有文件! 将JWT令牌返回给调用者-?
浏览 2
提问于2018-03-07
得票数 17
2
回答
如何获得当前用户的JWT信息?
python
、
flask
、
jwt
、
flask-jwt-extended
我正在尝试get 所有属于已经登录到系统的用户的订单。 我希望使用下面的 get ()方法获取当前用户的id信息,并从order表中获取属于当前用户的订单信息。我的目标是使用flask-jwt-extended.从JWT令牌获取当前用户的id 我怎么能这么做? @api.route('/orders') @jwt_required() def get(self): # current_user_info user_id = current_user_info["id"] return UserService.get_orders(user_id
浏览 12
提问于2022-02-13
得票数 -1
回答已采纳
2
回答
REST api:一次get请求多个资源
rest
我正在尝试设计一个RESTful应用程序接口,使用户可以在单个GET请求中获取单个产品或产品列表。每个产品都有一个唯一的id。 单个产品URL非常简单: http://mycompany.com/api/v1/product/id 这将返回单个产品的信息。我对多个产品信息的URL应该是什么样子感到困惑。 怎么样 http://mycomapny.com/api/v1/product/ids 其中,ids是逗号分隔的ids列表?
浏览 0
提问于2012-02-21
得票数 88
回答已采纳
2
回答
jwt令牌如何确保在数据库更改时更新有效负载
node.js
、
reactjs
、
jwt
、
express-jwt
我有一个关于JWT令牌类型身份验证的概念的问题。因此,假设我在用户登录后签署了一个JWT令牌,令牌有效负载包含用户名和userRole。然后,我将令牌返回给用户并存储在用户的localStorage中。 现在,如果我更改数据库中的用户角色,即从normalUser更改为AdminUser,我如何确保用户的localStorage上的有效负载也会更改? 我有一个问题,如果用户是管理员用户,当他登录时,jwt存储在他的localStorage中。之后,我将他的角色设置为普通用户,他仍然可以访问管理功能,因为他的localStorage包含AminUser角色。 有没有人能建议一种正确的方式来实现授
浏览 1
提问于2019-11-18
得票数 5
1
回答
如何在angularjs中使用拦截器刷新JWT令牌?
angularjs
、
jwt
我在Lumen中使用了我的应用程序后端实现,它每次用户登录时都会提供一个JWT令牌。前端,我使用角将令牌保存在本地存储中,并将其添加到后续请求中的所有标头中。通过创建一个请求来检查令牌的到期和刷新,我正在使用 我正在将令牌刷新代码添加到应用程序的配置中,但是当我提出任何其他请求时,都不会调用这个方法--这里是我尝试过的代码。 app.config(function Config($httpProvider, jwtInterceptorProvider) { jwtInterceptorProvider.tokenGetter = function(jwtHelper, $http,$
浏览 6
提问于2016-08-08
得票数 3
回答已采纳
1
回答
从后端用JWT交换Facebook访问令牌
android
、
facebook
、
jwt
、
access-token
、
facebook-access-token
我正在开发一个Android移动应用程序。我已经按照的指示成功地实现了Facebook。 在用户成功登录使用Facebook之后,我想将Facebook访问令牌发送到我的后端,它将使用一个JWT来响应,移动应用程序可以使用它来调用我的后端API端点。然后,我必须在移动应用程序中管理JWT的生命周期(有效期和过期日期)。 我将实现其他登录方式(Gmail和Whatsapp)。我的后端最好用自己的JWT交换有效的访问令牌,然后其他端点不必费心支持几种访问令牌类型。 问题: 这是一种可行的实施方法吗? 如果是,请指导我如何将访问令牌发送到后端,以及如何管理JWT的生命周期。是否有可以帮助完成
浏览 7
提问于2020-12-19
得票数 1
1
回答
如何有效地实现Json Web令牌?
jwt
我正在尝试实现并利用JWT (JSON Web Token)来保护我的系统。我让JWT的角色是防篡改的。我就如何安全地实现JWT进行了很多讨论,但我还是有点困惑。 首先,我决定使用2个令牌(刷新令牌和访问令牌)。 刷新令牌将具有更长的生存期,用于维护日志记录会话和创建访问令牌。它是在用户首次登录并每次用户主动使用应用程序时刷新其过期时创建的,这样如果用户正在积极使用我的应用程序,就不需要重新登录。 访问令牌将是短暂的,我正在尝试为每种特定请求创建访问令牌。因此,第二个问题是, (1)是为不同类型的请求创建单个访问令牌还是按我的想法使用不同的访问令牌。 我的逻辑流程应该是
浏览 0
提问于2019-05-08
得票数 1
2
回答
拒绝使用客户端凭据流访问应用程序
c#
、
azure-active-directory
、
microsoft-graph-api
我们已经在AAD中设置了一个应用程序。 该应用程序已被授予读/写所有消息/邮件和“读取用户配置文件”的权限,并且全局管理员已按下门户中的“授予权限”按钮。我们在尝试访问时仍然收到Access denied错误 https://graph.microsoft.com/v1.0/users/{myId}/MailFolders/Inbox/ChildFolders 用于我的用户my (myId)。当我以自己的用户身份登录时,URL在图形资源管理器中工作正常。 此外,在jwt.io上解码JWT会显示应用程序id、名称和"aud“() -但没有角色/作用域。 我们做错了什么?
浏览 0
提问于2018-11-07
得票数 0
1
回答
在sveltekit中持久化用户状态
jwt
、
local-storage
、
server-side-rendering
、
httponly
、
sveltekit
我正在尝试将Strapi后端连接到SvelteKit前端,并继续讨论如何持久化用户登录状态,这样就不会在刷新时或在导航到新页面时重新设置所有内容。我试过: 在localStorage中存储由Strapi发出的jwt和user对象,并使用它初始化Svelte存储。看起来我越来越接近了,但是a)我不能做export const user = writable(localStorage.user),因为该代码在浏览器中运行,而且我不能将它包装在一个if (browser) {...}中,因为导入和导出只能出现在顶层。还尝试了hooks.js中的一个函数来读取localStorage的内容并更新存储,
浏览 2
提问于2021-08-14
得票数 3
1
回答
在何处存储访问令牌以及如何跟踪用户(仅在Http cookie中使用JWT令牌)
node.js
、
reactjs
、
authentication
、
cookies
、
jwt
尝试了解如何获取并保存客户端中的用户(仅在Http cookie中使用JWT令牌),以便我可以进行条件呈现。我遇到的困难是如何连续地知道用户是否登录,而不必在每次用户更改/刷新页面时向服务器发送请求。(注意:问题不是如何在Http cookie中获得令牌,我知道这是通过withCredentials: true完成的) 因此,我的问题是如何获取/存储访问令牌,这样客户端就不必每次用户在网站上做一些事情时向服务器发出请求。例如,Navbar应该根据用户登录与否执行条件呈现,然后我不想“询问服务器用户是否有访问令牌,如果没有检查用户是否有刷新令牌,则在用户每次切换页面时返回一个新的访问令牌(如果真
浏览 2
提问于2021-11-15
得票数 3
回答已采纳
2
回答
JsonWebToken用户身份验证问题
javascript
、
mean-stack
、
jwt
、
express-jwt
我有一个用于用户身份验证的应用程序,我遇到了这个问题,我有一个登录的用户,并在cookie中存储了JWT (JsonWebToken)。我在验证用户后存储了cookie。接下来,作为管理员,我将该用户从数据库中删除,而他/她仍处于登录状态。因为用户仍然是登录的,所以用户在浏览器中有一个有效的JWT,所以它仍然认为它存在,因为我验证用户是否登录的方式是通过webtoken。我一直在思考如何解决这个问题,但我还没有想出任何办法。 我也在上发布了这个问题。
浏览 1
提问于2016-07-24
得票数 0
1
回答
多租户认证流程
javascript
、
node.js
、
postgresql
、
oauth-2.0
、
nestjs
公司如何在其多租户网络应用程序中处理身份验证? 本质上,我有一个包含多个表的单个PostgreSQL数据库实例。每个表都有一个workspace_id列,我将使用它来授予/拒绝访问。您可以将工作区看作客户端,单个用户可以与多个工作区相关联。 我最初的想法是: 使用前端应用程序,让用户发送电子邮件和密码到后端。 后端验证详细信息并返回用户所属的所有工作区。 前端应用程序显示工作区。 用户选择要登录的工作区。工作空间的id和步骤1中传递的用户详细信息再次传递到后端。 后端再次验证所有细节,并发出包含用户详细信息和工作区id的jwt令牌。 稍后,当用户尝试访问任何资源时,我将
浏览 2
提问于2022-03-14
得票数 1
1
回答
jsonwebtoken不在标头中
node.js
、
express
、
jwt
我在express应用程序中使用jsonwebtoken有一个问题,我不能在中间件上验证jwt,因为jwt不存在于req.headers中。下面是我的代码: const payload = { email, role: "User" }; jwt.sign( payload, process.env.SECRET_USER, { expiresIn: 60 }, (err, token) => { if (err) return err;
浏览 16
提问于2020-01-07
得票数 0
2
回答
使用JWT实现微服务之间的零信任。
jwt
、
zero-trust
我计划在我的微服务上实现JWT认证,以实现零信任架构。用户将通过前端微服务生成JWT令牌.每个后续请求都将包含这个JWT,该JWT将被转发到后端服务,这样服务就可以自己对用户进行身份验证,而不是从前端服务中获取一个简单的用户id。该方案在两种情况下失败。 用户在前端服务上发起呼叫,该呼叫生成要依次在后端服务上执行的步骤的长列表。JWt令牌最终将过期,步骤序列将停止,因为后端服务不会使用expried令牌对来自前端的进一步请求进行身份验证。 后端服务通过内部进程启动用户资源上的某些进程。如果发票未付款,请删除用户服务器。 在这两种情况下,用户都无法通过登录凭据生成新的JWT令牌。除了JWT之外,
浏览 0
提问于2019-12-10
得票数 5
1
回答
在rhomobile中访问Github私有ropositories
json
、
rhomobile
、
github-api
我正在尝试通过GitHub API.While访问和列出登录用户的Github私有存储库。我设法列出了公共存储库、分支存储库和监视存储库,我不知道如何使用访问令牌获取私有存储库列表。我正在尝试使用Rhomobile改进我的Github客户端。
浏览 1
提问于2012-03-06
得票数 1
2
回答
JWT nodejs / express -签名无效
node.js
、
angular
、
express
、
jwt
我在使用Jwt时遇到了问题,尤其是一个错误“无效签名”。 我在用户登录后生成一个令牌(jsonwebtoken)。 userSchema.methods.generateJwt = function() { var expiry = new Date(); //expiry.setDate(expiry.getDate() + 7); expiry.setDate(expiry.getDate() + 2); return jwt.sign({ _id: this._id, username: this.username, name: this.la
浏览 145
提问于2019-03-13
得票数 2
1
回答
如何覆盖控制器内部启动类中定义的"OnActionExecuting“?
asp.net-core
、
onactionexecuting
此代码针对每个传入请求运行,以检查它是否包含有效的JWT令牌。 services.AddMvc(options => options.Filters.Add(typeof(JwtAttribute))); 这在大多数情况下都是我想要的,除了第一次(当用户试图登录时)。因为它在每个请求下运行,用户无法登录。 我尝试在登录操作的顶部添加一个属性,但它仍然不起作用。 [HttpPost] [AllowAnonymous] public async Task<JsonResult> Login([FromBody]Credentials formData) { }
浏览 2
提问于2019-05-29
得票数 0
回答已采纳
2
回答
在node.js中开始使用JWT
javascript
、
node.js
、
jwt
、
authorization
、
middleware
我正在尝试在JWT应用程序中使用node.js。我跟踪了。 但是,在中间件级别上,我面临着一些问题: function authenticateToken(req, res, next) 在视频中的时间是10:30。 当我运行代码时,我总是有: authHeader == null 我尝试过各种方法来查找req.Header‘授权’的其他可能形式,比如req.headers.authorization,但都没有效果。 我需要说的是,我的应用程序中有一个允许我登录的路由,在使用该路由之前,我可以访问中间件。但是无论如何,authHeader仍然是空的。 我应该做什么,以确保我得到一个有效的aut
浏览 2
提问于2020-04-11
得票数 0
1
回答
是否通过JWT令牌识别用户?
php
、
security
、
jwt
、
token
、
privacy
我想使用JWT令牌来确保请求是由Android应用程序发送的。因此,我在登录到服务器(PHP)时发送一个POST请求,服务器返回一个存储在Android设备上的JWT令牌。对于与API通信的其余部分,我将发送带有请求的JWT令牌,以确保API请求被允许。然而,我不确定如何识别用户。 识别用户的推荐方式是什么?我不确定将用户id作为有效负载存储在JWT令牌中是否合适。关于隐私问题,什么是最好的方式?
浏览 0
提问于2021-10-31
得票数 0
1
回答
如何在hapi.js上的路径上使用hapi.js 2身份验证?
javascript
、
node.js
、
jwt
、
hapi.js
在hapi.js中使用访问令牌有一个问题。我无法理解如何使用该令牌进行身份验证。我正在关注这篇文章。我使用mongodb作为我的数据库。但是,在像这样发送请求之前,我无法登录到{auth:'jwt'}页面。但像这样发出请求似乎不对。那么我怎么才能使用这个标记呢?我不需要把它保存在本地存储器或数据库中才能访问吗?这是我的密码: app.js const jwt = require('jsonwebtoken'); await server.register(require('hapi-auth-jwt2')); server.auth
浏览 0
提问于2019-03-21
得票数 4
1
回答
使用slimframework读取令牌
access-token
、
slim
我使用SlimFramework和JWT来使用登录和密码来处理基于令牌的身份验证。 我设法登录并发送令牌作为响应。 这是我的代码: <?php require_once("vendor/autoload.php"); $app = new \Slim\Slim(); $app->add(new \Slim\Middleware\ContentTypes()); $app->post('/auth/login', function () use ($app) { $params = $app->request()->get
浏览 1
提问于2014-10-15
得票数 5
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
八幅漫画理解使用 JSON Web Token 设计单点登录系统
基于 Token的WEB 后台认证机制
苹果为ID验证漏洞,支付十万美元赏金
时序图说明JWT用户认证及接口鉴权的细节
Django 项目总结(2)-忘记密码
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券