腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
当
API-Security
只有
一个
用户
角色
时
,
使用
JWT
就
足够
了吗
?
api
、
authentication
、
oauth
、
jwt
、
api-security
我将开发
一个
移动应用程序,为此,我读了很多关于API安全的知识,并感到有点困惑。如果我的应用程序向API发出请求,那么身份验证
就
足够
了吗
,或者我也需要授权,因为我
只有
一个
用户
角色
。这意味着
JWT
而不是OAuth
就
足够
了,对吧?
浏览 17
提问于2021-05-03
得票数 1
2
回答
使用
Express的
角色
身份验证
javascript
、
node.js
、
express
、
authentication
、
passport.js
我有
一个
用户
的MongoDB,每个
用户
都有
用户
的属性。
用户
可以注册,并获得
用户
的默认
角色
,但在管理面板中,您可以创建其他管理员。问题是,我不知道如何防止某人只获得创建
用户
的POST路由,只需将
角色
属性设置为admin,并将其与Insomnia一起发布。有什么办法防止这种情况发生吗?
浏览 3
提问于2020-08-08
得票数 1
回答已采纳
1
回答
JWT
身份验证,无需获取每个请求的
用户
详细信息
spring
、
spring-security
、
jwt
我正在Spring Security中实现
JWT
身份验证。我有预定义的
角色
,例如。普通
用户
、管理员等{ "iat": "<some_date>", "scopes": [ "ROL
浏览 2
提问于2018-05-29
得票数 3
2
回答
在WSO2 Api管理器中命中端点
时
将
用户
角色
添加为标头
wso2
、
wso2-am
我有
一个
后端,这是给予响应基于最终
用户
的
角色
,这是
使用
WSO2应用程序接口管理器v2管理。我想根据已经生成的访问令牌来传递
用户
角色
。我已经阅读了主题,但我找不到要传递
用户
角色
的主题。我知道可以通过查询ldap/active directory来获取
用户
角色
,但如果有
使用
mediator的简单方法,那就太好了。谢谢。
浏览 2
提问于2016-10-25
得票数 0
1
回答
客户端应用程序调用带有Admin
角色
的Azure AD保护的Api
azure
、
api
、
azure-active-directory
、
microsoft-graph-api
、
roles
我有点困惑,我有以下实现:myApi (1) 我的困惑是,我是否需要为客户端应用程序分配
一个
Admin
角色
,以获得将用
浏览 0
提问于2021-04-26
得票数 0
回答已采纳
1
回答
内部微业务通信应该通过zuul网关吗?
java
、
spring-boot
、
spring-security
、
microservices
我正在
使用
Spring框架创建
一个
微服务项目,但内部微服务调用存在问题。当
用户
调用微服务A的端点
时
,请求通过zuul网关检查
jwt
令牌是否有效,以及
用户
的
角色
是否允许他访问此端点。如果一切都有效,
用户
将被重定向到微服务A的端点。到目前为止一切都很清楚。但是,
当
微服务的端点A调用微服务B的另
一个
端点
时
,问题
就
开始了。通常,我要做的是将
用户
的
jwt
传
浏览 7
提问于2020-07-02
得票数 1
回答已采纳
1
回答
在没有第三方的情况下
使用
oauth for API
oauth-2.0
我知道facebook 2在你想授权给第三方的情况下非常有用(即someapp.com想要访问你的OAuth照片),但是在你
只有
一个
没有第三方的facebook应用程序接口,并且你想保护你的端点的情况下,
使用
OAuth有意义吗?或者,创建
一个
产生短暂
JWT
的/login端点
就
足够
了吗
?
浏览 0
提问于2019-01-05
得票数 3
3
回答
使用
JWT
的
角色
jwt
我是
JWT
的新手。我对
JWT
进行了一些研究,并理解它被定义为"header.claims.signature“。考虑
一个
简单的场景如下: 一旦经过验证,服务器就会找到客户的类型,我假设customerId和
角色
将是
JWT
中"claims“的一部分。
JWT
的&quo
浏览 3
提问于2015-08-22
得票数 30
回答已采纳
1
回答
JWT
与SSL仍然需要HMAC或RSA签名,还是我只是偏执狂?
openssl
、
rsa
、
hmac
、
jwt
、
web
我正在尝试为我的web应用程序
使用
JWT
实现身份验证/授权系统。
当
客户端显示凭据
时
,就会从我的服务器上提供常规
JWT
格式的令牌,我将对数据库进行检查。我认为可能会出现的问题是,据我所知,
JWT
令牌没有以任何方式加密或签名,因此我可能是MitM的受害者,在那里有人正在更改我的有效负载中的声明,并发送响应或只是窃取数据。我发现可以通过
使用
HMAC或更好地
使用
RSA私钥/公钥对来签名
JWT
令牌来解决这个问题,但同样,RS
浏览 0
提问于2017-01-31
得票数 1
1
回答
如何将
用户
角色
从授权服务器复制到下游微服务?
security
、
spring-security
、
jwt
、
microservices
、
spring-cloud
我需要实现
一个
应用程序,在该应用程序中,我将
使用
生成
JWT
令牌的授权服务器。这些令牌将包括授予
用户
的
角色
,然后授权
用户
访问不同的资源。还将有
一个
网关,其中将添加此安全性。我的问题是关于
用户
角色
和内部微服务之间的安全性。 当
用户
被创建
时
,他应该被授予一组
角色
,并且可能在稍后的某个点被授予不同的
角色
,或者以后可能会添加新的
角色
。所有这些信息都应该存储
浏览 6
提问于2017-06-20
得票数 1
回答已采纳
1
回答
在REST中验证
jwt
令牌
amazon-web-services
、
authentication
、
jwt
、
authorization
、
amazon-cognito
对于REST所做的
jwt
令牌验证,我有
一个
疑问,无法找到
一个
简单的是/否答案。假设所有内容都是通过HTTPS传输的。我有以下设置当
用户
想要登录
时
,React应用程序将调用AWS认知api并验证凭据。如果有效,认知将发回
一个
jwt
令牌(包含必要的元数据),该令牌可以传递给REST。现在我看到了两个选择 后端验证
jwt
令牌没有
使用
rf
浏览 2
提问于2020-10-03
得票数 0
回答已采纳
1
回答
用azure AD保护多租户web API
azure
、
api
、
azure-active-directory
作为
一个
例子,我想要理解的场景是,如果API有
一个
动作getcompany,客户端应用程序应该被允许代表已签名的
用户
调用它,并分配了
一个
company read role。然而,有一项行动说,所有注册的公司都应该只允许在我的AAD租户中被具有相关
角色
的
用户
调用。 我如何运用这些限制呢?什么是阻止其他人编写客户端并为他们的应用程序分配
角色
,然后访问我的Api。
浏览 2
提问于2022-01-27
得票数 1
1
回答
如何使按钮只包含可访问的图像?
html
、
image
、
accessibility
我有
一个
<img>,即
当
单击
时
,应该执行
一个
动作,所以我将它封装在
一个
<button>中,如下所示: <img src="" alt="Cat">关于可访问性,可访问性树中的按钮应该具有与其关联的
角色
和标签。
角色
是
使用
<button>标记完成的,通常,按钮的标签是它在开始标记和结束标记
浏览 0
提问于2018-11-05
得票数 3
回答已采纳
1
回答
当我有两种类型的
用户
时
,如何
使用
spring安全来保护rest api
spring
、
spring-boot
、
spring-security
我认为最简单的方法是
使用
spring secure (或者我也应该
使用
JWT
?)但我不确定我是否能很好地理解教程。这
足够
了吗
?我如何为他们设置
角色
?我没有在表中指定
角色
,我可以硬编码它吗?我不期待任何其他
用户
,所以实现它是
一个
好主意吗?
浏览 19
提问于2020-07-26
得票数 0
回答已采纳
1
回答
前端
使用
AWS congnito身份验证的Spring安全实现
spring-security
、
amazon-cognito
存储在数据库中的
用户
信息(作为主键来自congnito的唯一id )。 这是在前端进行身份验证并将数据传递给后端以实现春安全性的不良做法吗?是否有任何仅设置
用户
名的实现?还是可以将密码设置为空字符串?
JWT
with A
浏览 5
提问于2020-03-24
得票数 1
回答已采纳
1
回答
ASP.NET Core2.1中的策略和索赔
c#
、
asp.net-core
我正在创建
一个
API,我有一些关于索赔/策略的问题。
使用
开发中的索赔注册策略相对容易,我用X索赔创建
一个
策略,并将该策略添加到控制器/方法中,拥有这些声明的任何人都可以访问。或者我唯一要做的就是向
用户
添加X声明,这就
足够
了吗
? 2)在这种情况下,是否应该创建
一个
表来存储索赔(仅包括索赔),以便有
一个
索赔列表,然后将其分配给
用户
(aspNetUserClaims表)?3)如果我在生产中创建
一个
<em
浏览 0
提问于2018-08-08
得票数 1
回答已采纳
1
回答
如何
使用
基于令牌的身份验证在Node.js中实现基于
角色
的授权?
node.js
、
rest
、
express
、
passport.js
如何
使用
REST方法(即基于令牌的身份验证)在nodejs中为有三个
角色
的教育公司实现多个身份验证&学生、家长和管理员。
浏览 0
提问于2018-11-18
得票数 1
回答已采纳
3
回答
ASP.NET自定义
角色
提供程序-附加字段
asp.net
、
security
、
asp.net-membership
、
authorization
、
membership-provider
在将代码迁移到ASP.NET
时
,我面临
一个
安全模型问题。有多个
角色
。(
角色
A,
角色
B等)有多个输入/输出字段。(字段A、字段B等)有多个权限级别控制对每个字段的访问。(阅读、直接编辑、批准编辑,无)每个
角色
对字段都有自己的权限。(
角色
A对字段A具有读取权限;
角色
B具有字段A等的直接编辑权限),,每个
角色
都可以分配给
用户
,他们由地理信息分配。(
用户
A被分配给欧洲大陆的
浏览 2
提问于2011-04-05
得票数 3
回答已采纳
2
回答
防止参数篡改和保证参数安全的正确方法是什么?
encryption
、
http
、
access-control
、
tampering
我正在开发
一个
HTTP服务器。我
使用
HTTPS作为客户端和服务器之间的协议,但我知道HTTPS不能防止参数篡改。
用户
可以篡改参数。例如,您无权访问其他客户端的资源,但如果您篡改了某些参数,则可能会非法访问某些资源。
用户
可以直接看到参数,例如
用户
的ID。在我的项目中,我们将
用户
ID放入所有HTTP请求的头中,以跟踪请求。嗯,我只是觉得这不是个好主意,
浏览 0
提问于2023-04-12
得票数 0
2
回答
存储和检索SQL的SQL管理密码
sql
、
azure
、
azure-sql-database
、
azure-keyvault
、
arm-template
当我
使用
ARM模板创建SQL数据库
时
,需要提供主SQL管理。在这种情况下,仅仅在Azure密钥库中创建/存储
一个
秘密
就
足够
了吗
?而不
使用
密码密钥?
浏览 0
提问于2019-02-11
得票数 0
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
JWT令牌:轻量级基于令牌的身份验证
10分钟了解JSON Web令牌
时序图说明JWT用户认证及接口鉴权的细节
JSON Web Token
JSON Web Token 入门教程
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券