测试使用jwt令牌保护的路由的正确方法是什么?
测试使用JWT令牌保护的路由的正确方法是通过以下步骤进行:
- 理解JWT令牌:JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三部分组成:头部、载荷和签名。头部包含令牌的类型和加密算法,载荷包含用户的相关信息,签名用于验证令牌的完整性。
- 生成JWT令牌:在测试之前,首先需要生成一个有效的JWT令牌。可以使用一些开源的JWT库或者在线工具来生成令牌。在生成令牌时,需要设置有效期、加密算法和载荷中的用户信息。
- 设置路由保护:在应用程序的路由中,选择需要保护的敏感路由。这些路由可能包含需要用户身份验证的功能或者需要特定权限的功能。
- 添加身份验证中间件:在路由保护的中间件中,添加JWT验证的逻辑。该中间件应该验证传入请求的Authorization头部中的JWT令牌,并验证其有效性和完整性。
- 进行测试:使用有效的JWT令牌进行测试。可以使用Postman等工具发送HTTP请求,并在请求头部中添加Authorization字段,值为"Bearer <JWT令牌>"。
- 验证结果:根据返回的HTTP状态码和响应内容来验证测试结果。如果令牌有效且具有足够的权限,应该返回成功的响应。否则,应该返回相应的错误信息。
推荐的腾讯云相关产品:腾讯云API网关(API Gateway)可以用于保护和管理API接口,支持JWT令牌的验证和授权。您可以通过以下链接了解更多信息: https://cloud.tencent.com/product/apigateway
请注意,以上答案仅供参考,具体实施方法可能因应用程序的不同而有所差异。
相关·内容
1回答
我的测试网站在UI框架中生成JWT令牌,这两个框架都是由角CSS设计的,后端API也生成JWT令牌,该标记在1小时内到期。我必须做一个性能测试,为这个网站使用Jmeter。对于后端和前场球队,我必须具备的先决条件是什么?因为在记录每个备用请求的前端测试和在JMeter中运行时,它会生成403或401响应。
浏览 0提问于2019-12-06得票数 1
1回答
我现在已经启动并运行了一个服务身份验证(使用jwt到auth)。
我正在开发一个测试服务,强迫用户创建一些所需的信息,并强迫他们进行测试,以了解如何使用我们的工具。
由于缺少前端exp,我想知道这个测试服务将如何与auth服务集成。
现在,对于auth服务中的后端端,如果我调用函数来检查用户是否通过测试&是否创建了一个配置文件,我将在令牌中给他们权限。否则,我将允许他们返回令牌= []。
但是对于前端方面来说,重新直接使用测试页面的解决方案是什么(登录后和之前已经登录的用户呢?)
浏览 2提问于2022-03-29得票数 1
处理HTTP数据包中的JWT令牌的标准和最安全的方法是什么?
JWT不应该被设置为cookie,这是正确的吗? cookie使得会话劫持变得微不足道,因为浏览器会自动包含它,因此不会在普通会话id cookie上为JWT令牌提供任何附加值。
那么,JWT令牌应该作为头部还是作为JSON属性包含在内,或者这是一个实践问题?
浏览 2提问于2016-07-19得票数 0
1回答
角6 JWT认证
、、、、
我用JWT令牌保护我的角6应用程序。我有一个保护UI元素的auth服务:
export class AuthService {
constructor(
private http: HttpClient,
private router: Router,
public jwtHelper: JwtHelperService,
) {}
isAuthenticated(): boolean {
return !this.isTokenExpired;
}
然后我可以调用我的组件:
<span class="page-nav"
浏览 1提问于2018-10-10得票数 2
回答已采纳
1回答
我使用以下代码生成JWT令牌:
jwt.sign(id, TOKEN_SECRET, { expiresIn: '24h' });
生成之后,我将令牌发送到客户机,客户机将其存储在cookie中:
document.cookie = `session=${token}` + ';' + expires + ';path=/'
此外,我使用vue.js路由器进行导航。据我所知,如果在路由器文件中添加以下代码,就可以插入中间件以保护某些路由。
router.beforeEach((to, from, next) => {
if (to
浏览 2提问于2020-07-27得票数 1
回答已采纳
1回答
目前,我正在从事一个具有保护路由(受JWT授权保护)的React项目。
根据用户的权限,某些页面呈现的方式不同。这些权限是在令牌负载中加密的。
由于JWT令牌可以被解密和修改,所以理论上用户可以修改令牌,以便访问他们真正不应该访问的页面。由于令牌失去了有效性,后端服务器将不会处理特定用户的任何请求,因此不会造成任何损坏。
我仍然不希望用户仅仅通过修改JWT令牌就能够访问受保护的页面。我对这个问题的解决方案是向一个端点发送一个请求,该端点验证令牌。根据端点的响应,将进行第二个API调用,然后该调用将返回受保护页面所需的数据。如果验证端点返回令牌不再有效,则用户将被重定向到登录页。
登录>
浏览 5提问于2020-06-01得票数 0
1回答
我的应用程序是一个Node.js API,在同一个应用程序中有一个客户端。
我正在尝试实现一个简单的auth登录,它使用由 API生成的JWT令牌。
我的逻辑如下:
Client:用户向/auth/login路由提交登录信息。
$.ajax({
url: "/auth/login",
type: "POST",
data: formData,
dataType: "json",
success: function(data, textStatus
浏览 2提问于2018-06-13得票数 0
假设我有一个API端点,其资源只有拥有有效访问令牌的授权用户才能访问,类似于这样:
from flask_restful import Resource
from flask_jwt_extended import jwt_required
class Collection(Resource):
@jwt_required
def get(self):
"""
GET response implementation here.
"""
# Queries and
浏览 0提问于2019-04-24得票数 1
回答已采纳
我有个问题。
我正在实现一个用户管理功能。管理员将管理客户的帐户。3.
在这种情况下,客户端正在使用系统,管理员阻止该客户端。
如何删除来宾JWT令牌,将其屏幕重定向到屏幕登录?
谢谢!
浏览 5提问于2022-09-14得票数 -1
1回答
如何在角2中实现以下流?
我认为在需要身份验证的应用程序中,这是一个相当标准的场景。
应用程序所需的配置数据是在可注入服务中定义的。
当应用程序启动(引导)时,请检查localStorage。
如果本地存储包含有效的JWT令牌,则进行http调用以检索配置数据。当响应被接收并存储在服务中时,路由到Home。
如果本地存储不包含有效的JWT令牌,则路由登录。当用户提交登录时,http调用,将接收到的JWT放在本地存储中,进行另一个http调用(与上面相同),当响应被接收并存储在服务中时,路由到Home。
稍后,受保护的组件有一个routerOnActivate来验证配置数据是否存
浏览 3提问于2016-06-13得票数 3
回答已采纳
我正在使用JWT-简单地验证我的快速路线。
服务器端:
var jwt = require('jwt-simple');
var bcrypt = require('bcrypt');
var passport = require('passport');
require('../passport')(passport);
/* Create an Account */
router.post('/signup', function (req, res, next) {
var verifyCode =
浏览 0提问于2017-05-25得票数 2
回答已采纳
1回答
我正试图在node.js中成功地授权使用jwt和护照。我用的是passport.use和JwtStrategy。
我已经在我的一条路线上启动了身份验证,以测试它是否会不授权我而没有标记,
// Profile
router.get('/profile', passport.authenticate('jwt', { session: false }), (req, res, next) => {
res.json({ user: req.user });
});
当我和邮递员一起向发送邮件请求时,我得到了Unauthorized,目前为止还不错.
浏览 7提问于2017-12-15得票数 0
在nodejs中水平扩展JWT的正确方法是什么。我使用RSA来生成令牌。因此,每个服务器都能够解码由自己生成的令牌。所有的负载平衡都是无状态的,因此无法知道哪个服务器生成了令牌。我使用的当前代码是
helper['generateToken'] = (user)=>{
return new Promise((fullfill,reject)=>{
try{
var cert = fs.readFileSync('pvt.key');
var token = jwt.sign(user,process.env.SEC
浏览 0提问于2017-02-02得票数 1
回答已采纳
我正在为API和前端使用Adonis.js和Vue.js构建一个应用程序。我正在使用JWT令牌来保护我的API的所有路由。
我理解JWT在保护API路由方面的强大功能。当用户创建帐户时,会创建一个令牌来标识用户。
当我从Vue调用我的API时,我将活动用户的令牌写在标题中,并在我的API中验证该令牌是否“活动”,以及是否属于用户帐户(然后调用我的数据库..)。
但问题是(对我而言)我不明白如何才能使中间件到达我的vue路由(验证用户是否是身份验证)。我读过一些关于这方面的教程,结论是=>将令牌存储在本地存储中(好的,这是合乎逻辑的),并制作一个中间件来检查令牌是否存在。
但在我看来,这个
浏览 4提问于2019-11-08得票数 1
回答已采纳
我很难用JSON令牌创建一个登录系统。
我已经做了登录(客户端),调用我的server.js文件。
这是通过客户端进行的登录,下面是我的句柄提交函数,它调用了server.js登录route.How,在这里我会使用令牌吗?
handleSubmit(e) {
e.preventDefault();
if (this.state.email.length < 8 || this.state.password.length < 8) {
alert(`please enter the form correctly `);
} else {
浏览 3提问于2020-01-21得票数 0
回答已采纳
1回答
Web API颁发的访问令牌的默认格式是什么?我正在开发具有个人用户帐户(用于身份验证)的ASP.NET Web API的标准模板。根据我的理解,该格式不是JWT令牌格式;但是令牌的格式是什么呢?我尝试过Base64解码,但不起作用。另外,根据我的理解,令牌包含与索赔相关的信息,如果我错了,请纠正我。虽然我使用Web API已经有一段时间了,但出于好奇心我还是问了这个问题。
任何正确方向的指导都会有所帮助。谢谢!!
浏览 1提问于2021-10-03得票数 0
1回答
授权、令牌和nodejs
、、、
我在考虑我的应用程序的授权。除了针对mongo数据库的JWT身份验证之外,我还想为不同角色保护某些路由。我对OAuth或第三方服务不感兴趣
我有困难的地方是在哪里存储角色。如果我查询数据库进行身份验证并返回令牌,是否还应该返回有效负载中的角色?那么,一旦验证了中间件,是否进一步授权了用户呢?有人不能用管理员权限重写令牌吗?
,做这个的标准方法是什么?
这最终是和api在前端提供一个角度应用程序。
谢谢
浏览 1提问于2018-09-22得票数 0
3回答
基于NextJS的JWT认证
、、、、
我已经搜索了一些,但没有找到任何明确的,最新的,这个主题的答案。
我正试图在我的NextJS应用程序中实现JWT身份验证。以下是我到目前为止所拥有的。
/login端点将(1)检查用户/pass是否存在且有效,(2)基于私有RS256键创建JWT令牌。
创建了一个中间件层来验证JWT。
创建JWT很好--它非常好地从文件系统读取密钥并对JWT进行签名。
但是,由于边缘运行时(read ),我遇到了中间件无法使用节点模块(fs和path)的问题。这使得我无法从FS中读取公钥。
在每个请求上验证JWT令牌的正确方法是什么?我读到过来自中间件的fetch是不好的实践,应该避免。关于这
浏览 24提问于2022-08-21得票数 0
我正在学习angular2通过以下一些教程在网上。当使用jwt令牌创建登录页面时,许多示例方法都是这样的:-当用户输入电子邮件和密码时,submit事件将调用身份验证api --成功的身份验证将返回一个有效负载过期日期的令牌。此令牌存储在本地存储中--受限路由导航将通过getItem从本地存储检查已验证的用户,检查令牌是否存在和终止日期。
我的问题是:我可以轻松地使用本地存储中的令牌到jwt.io,稍后将过期号更改为其他内容,复制新生成的令牌并手动粘贴回本地存储项。
我的想法是:在任何路径导航之前调用api tokenValidation,它似乎会引入大量的服务器调用。
运用你的思想
浏览 3提问于2017-03-31得票数 0
回答已采纳
1回答
我(为了我的一生)试图使用JWT令牌创建一个登录。我已经在这方面工作了好几天了,现在真的很困难。
这就是我目前所处的位置。
登录请求确认用户名和密码是正确的,创建一个json网络令牌,并将其附加到一个仅由http签名的cookie上。然后通过json将使用数据发送到前端。我可以从前端的json响应成功地访问用户数据。
const loginUser = async (req, res, next) => {
try {
const {username, password} = req.body
//grabbing user associated
浏览 1提问于2022-04-16得票数 0
我正在我的反应节点-快递psql应用程序中设置一个auth系统。我在互联网上读了很多关于存储jwt的内容和博客,但仍然需要一些澄清。
我已经看过许多教程,比如将jwt存储在本地存储中,它们的私有路径如下所示
const token = JSON.parse(localStorage.getItem('token'))
<Route
{...rest}
render={(props) =>
token ? (
&l
浏览 1提问于2021-08-07得票数 0
回答已采纳
2回答
我创建了一个应用程序,它只使用服务器在正确的登录凭据上发送的JWT,并授权我的后端Express.js服务器上的任何Express.js路由。
另一方面,AngularJS将此令牌存储在会话存储中,并使用auth拦截器将令牌发送回服务器。
最近我开始明白这种做法有多危险。
在这个场景中,我理解了令牌的来回传输方法。但是,是否有人会很好地解释一下,当您想要将JWT存储在客户端Javascript无法读取的安全的、仅HTTP的cookie中时所发生的方法呢?
例如:凭证书取得成功
cookie在服务器上创建,
与cookie同时创建JWT
将JWT存储在名为token等的cookie属
浏览 6提问于2016-10-01得票数 59
回答已采纳
2回答
通过JWT令牌进行授权
、、、、
带有ASP.NET标识3.0的ASP.NET核心5,我同时使用网页和apis。我使用OpenIddict来发出JWT令牌并进行身份验证。我的代码看起来如下:
X509Certificate2 c = new X509Certificate2(@"tokensign.p12", "MyCertificatePassword");
services.AddOpenIddict<WebUser, IdentityRole<int>, WebDbContext, int>()
.EnableTokenEndpoi
浏览 3提问于2016-07-23得票数 7
回答已采纳
1回答
我连接ReactJS前端与PHP后端。在登录时,我将JWT令牌保存在localStorage中,我有一些静态反应页面,我只想在用户登录时显示它们,我已经将它们包装在一个受保护的路由中。我知道当我们从后端api提取数据时,我们可以授权用户,但在这种情况下,我如何授权用户,如果用户添加了错误的令牌,静态页面仍然可以访问。以下是我的受保护路由的代码
<Route
{...rest}
component={(props) => {
const token = window.localStorage.getItem("token");
浏览 0提问于2021-06-07得票数 0
我已经创建了一个简单的登录页面和仪表板的角度应用程序。仪表板是一个安全的页面,应该在有效登录后打开。
在submit按钮上,我调用一个身份验证服务来检查用户凭据的有效性,在响应中,我收到一个JWT,它存储在本地存储中。
我还创建了一个AuthGuard来保护仪表板。在AuthGuard中,我无法识别这个JWT是否有效(任何用户都可以创建一些随机密钥并访问仪表板)。
,我是否必须在Dashboard Init()方法中创建一些方法来检查JWT的有效性,如果是,那么AuthGuard的目的是什么?请建议。
login.component.ts:
this.authenticationService
浏览 1提问于2019-02-04得票数 0
回答已采纳
1回答
在web客户端-服务器身份验证上下文中有关JWT的一些语句:
约壹三在中间的攻击中,人是不安全的。将JWT从客户端发送到服务器安全级别等于发送散列密码。
JWT可以将用户详细信息作为有效负载。在不访问DB中的实际数据的情况下使用这些数据是JWT特性之一。但是,如果DB数据更改,该JWT数据不会失效/更新。
在某些情况下,应该根据DB验证JWT的有效负载,并且/或明智地设置时间戳,以便在一段时间后使JWT失效。
一个真实的例子,客户端必须多次调用API才能完成一个工作流:用户希望知道从A到B的最短路径的价格,我们使用两种类型的JWT&一个"authJWT“&a
浏览 3提问于2016-08-04得票数 2
回答已采纳
1回答
我目前正在我的项目中实现JWT,以支持各种API。此API仅适用于特定的model。这个模型使用我声明的自定义保护正确工作,当我想要登录它时,我已经确保合同和可验证的特征已经正确地应用了,但是->byId方法总是失败的。这是我的密码:
namespace App;
class Customer extends Model implements Authenticatable {
use \Illuminate\Auth\Authenticatable;
在我的jwt.php文件中,我告诉它使用我的自定义模型:
'user' => \App\Custome
浏览 0提问于2017-07-18得票数 2
回答已采纳
1回答
我有一个要求集成一个反应SPA与第三方供应商。此外,我的应用程序将使用我自己的内部JWT作为auth,这样,除了最初的用户身份验证之外,我们还可以与第三方提供程序分离。这还允许我们将自己的自定义声明添加到JWT中。后端的所有内部API调用都将通过API网关使用内部JWT。我建议的流程如下:
Auth流
用户要求我的反应应用程序在web.acme.com。
应用程序使用受保护的路由来检查用户是否已登录。为此,它检查本地/会话存储中是否存在JWT,如果存在,则向api.acme.com/authorize的auth服务发出POST请求,以检查JWT是否有效(200或401响应)。
如果
浏览 0提问于2021-09-27得票数 0
我们有一个使用Identity Server 3的微服务环境,标识通过授权http报头中的承载令牌提供给http微服务,其中令牌是JWT。JWT通常表示已登录的最终用户,但有时还可以表示通过客户端凭据流进行身份验证的系统用户。
消息由这些微服务在队列(RabbitMQ)上发布,以便异步处理。目前,我们有一个windows服务来使用这些消息。它使用客户端凭据作为系统用户进行身份验证,并将auth头中的JWT发送给其他http微服务。
我们希望维护在整个流程中发布消息的用户的身份,包括在计算机到机器(m2m)通信中,当从队列中消耗消息时,以及当用户调用其他微服务时。例如,当Service A(提供
浏览 7提问于2019-12-23得票数 3
1回答
我们知道如果修改了JWT内容,服务器就会使用签名找到它。但是,如果JWT被盗用并被黑客使用而没有修改呢?服务器如何验证JWT来自正确的客户端?
我知道用户id在JWT中,但我仍然不确定服务器如何安全地确保JWT来自具有与JWT中相同的用户id的客户机。
浏览 2提问于2018-10-17得票数 0
回答已采纳
阅读有关JWT的文章时,我附带了一个非常有趣的主题,如果jwt令牌在与wordpress一起使用时没有得到适当的安全保护,那么它就是jwt令牌的漏洞。
因此,问题是将令牌存储在cookie中将使其容易受到XSS或CSRF攻击,但是wp-api-jwt-auth的文档表示:
获得令牌后,必须将其存储在应用程序的某个位置,例如在cookie中或使用本地存储。
这是正确的吗?它不是很脆弱吗?
浏览 0提问于2019-01-26得票数 0
回答已采纳
1回答
如何支持JWT身份验证?
、、、
现在,我正在使用作为外部流量的路由服务。然而,没有几篇文章介绍如何使用JWT身份验证来保护内部API。有人能分享一些关于它的信息吗?
浏览 4提问于2019-10-21得票数 8
回答已采纳
是否可以在Angular 2应用程序中使用Kerberos?我们使用的是Spring,它托管了我们的REST服务,还通过Kerberos保护了Angular 2资源。我们希望添加角色,并定义Angular2应用程序中的哪些功能可用于某些角色。关于如何做到这一点的信息似乎很少,因为大多数人似乎都去使用JWT或OAuth。
是否可以使用Kerberos进行初始身份验证,然后生成JWT并将其发送回浏览器?
目前,我正在考虑设置一个REST端点/user,它返回有关当前登录用户的所有信息,包括他/她的权限。在Angular中,我可以读取这些权限,并相应地操作UI和路由。来自服务器的数据已经受到Kerb
浏览 1提问于2017-02-08得票数 4
1回答
用户在登录页面中输入凭据后,我将从服务器收到的JWT令牌保存在本地存储中。在使用window.location.replace(url)重定向到受保护的页面时,如何使用此标记。或者还有其他我应该使用的方法?我的后台是Flask,如果这很重要的话
浏览 33提问于2018-08-08得票数 0
由于本地存储和会话存储都可以通过JavaScript访问,所以最好不要将身份验证JWT存储在其中任何一个中,以避免XSS攻击。
既然OpenID连接2.0是在一个单独的域上执行的,那么我们如何设置一个服务器端仅包含经过身份验证的JWT的cookie呢?
我猜是这样:
用户转到您的网站,然后单击登录。
用户被重定向到第三方OpenID连接2.0提供程序。
用户登录,现在重定向到您选择的路由: www.example.com/myredirectlogin。
然后,当重定向到达我的路由并在URI中的JWT令牌中传递时,用户的浏览器会发出一个get请求。
然后,服务器使用提供者提
浏览 11提问于2019-12-28得票数 1
回答已采纳
我有一个标记的后备列表(JWT)存储在Redis中,并且希望我的网站的用户能够以RESTful的方式将他们的令牌黑名单。
我可以:
使用DELETE方法构建路由/sessions/<token>
使用DELETE方法和请求正文中发送的令牌构建路由/sessions/。
第一种解决方案很简单,但是令牌存储在服务器日志和用户浏览器的历史记录中。
第二种解决方案似乎更好,但我不确定我是否会通过向主体发送删除请求来破坏HTTP的幂等性原则。
这个案子的最佳做法是什么?
浏览 0提问于2018-08-17得票数 4
回答已采纳
我有一个多租户(AAD +个人Microsoft帐户)单页应用程序,它使用MSAL库登录用户,然后获取令牌。
当我为登录的AAD用户调用acquireTokenSilent时,AuthResponse对象中提供的accessToken是一个有效的JWT。此外,JWT似乎正确地包含了我在acquireToken调用中请求的所有作用域。
当我对个人MSA帐户做同样的事情时,提供的accessToken似乎不是一个有效的JWT。它看上去有点像字母数字,但是它不能被任何普通的JWT解码器解码。
个人MSA帐户的accessToken应该是有效的JWT吗?如果不是,那是什么?
谢谢!
浏览 0提问于2019-11-22得票数 2
回答已采纳
因此,我试图让我的角度弹簧认证工作了大约3周,我完全被困住了。以下是我要做的事:
我有一个SSO角度应用程序,它使用‘@ Azure /msal-角’依赖于身份验证,并授权给我的Azure Active。在这一点上,那部分是完全正常的。
除了我的前端,我还有一个Spring引导后端应用程序作为一个Web。我要做的是,使用我的前端从Azure身份验证过程中获得的JWT令牌,并使用该令牌对Rest调用进行身份验证。
我不知道从这里开始正确的身份验证流程是什么。我看到了这三个不同的示例实现,它们都不同:
这些实现中没有一个适用于我的后端。所以问题是:构建这个身份验证流的正确方法是什么?是否有一
浏览 3提问于2020-03-30得票数 0
我正在创建一个Web API应用程序,它将jwt令牌作为参数。
但是,我希望这对大多数应用程序都是透明的。
我想接受一个类似于:website/{controller}/{action}/{token}的请求
然后,解析和验证它,然后将它发送到控制器,就像它是以以下格式请求的一样:website/{controller}/{action}/user/{sub}/ect/{ect}
有没有办法让我在现有的框架中实现一个捕获所有转换的类?或者我必须为每个操作创建一个转换方法?
浏览 0提问于2018-01-09得票数 0
3回答
我有一个Node.js快速web应用程序,用户可以通过将他的电子邮件地址和密码发布到路由/signin来登录,如果成功,他就会收到一个JWT令牌,并将其存储在他的本地存储空间中。
我刚开始使用JWT令牌进行授权,但有一件事我并不真正理解。如何确保用户在成功登录后始终在每个请求中发送JWT令牌?
我不使用任何前端框架,如React或Vue。
浏览 0提问于2018-07-23得票数 1
回答已采纳
我正在学习,我正在尝试实现一个登录。
正如我所理解的,最好将JWT存储在Cookies中,使用"secure: true“和"httpOnly: true”作为:
const jwtBearerToken = jwt.sign(...);
res.cookie("SESSIONID", jwtBearerToken, {httpOnly:true, secure:true});
这样,任何JavaScrip都不能访问Cookie (因为"httpOnly: true"),
我被保护着不受XSS攻击,
但我的SPA也不能这样访问JWT,下面是我的
浏览 1提问于2018-04-09得票数 2
回答已采纳
1回答
我想用Svelte/Kit创建一个网站,并使用JWT。我在互联网上找到了一些说明,例如: SvelteKit身份验证 SvelteKit会话身份验证使用Cookies ,但遗憾的是没有关于SvelteKit和JWT的说明。所以我自己试过了。
令牌在端点处生成,但不会到达页面(或不可调用)。我怀疑标题中的某些设置是错误的,但无法确定是什么错误。这是我高度简化的测试环境:
(1)我从页面login.js调用端点index.svelte。对于测试,我省略了检查电子邮件和密码,并立即发送回JWT。数据到达,但我没有看到JWT。
(2) JWT应该发送到另一个端点。做这件事最好的方法是什么?
“页面”i
浏览 0提问于2021-04-23得票数 1
回答已采纳
我有一个web应用程序,用户通过后端Spring服务器登录。我使用JWT实现了它,它的工作原理(很好)如下:
用户在登录表单中插入用户名和密码。
我使用sha256散列密码,并调用登录端点,在MVC中发送用户名和sha256(密码)。
端点检查用户是否存在,密码是否正常(密码保存为sha256(密码)),如果是,则生成一个在一小时内过期的JWT,并在其有效负载中设置一个字段用户名。我为JWT使用的密钥是一个与用户相关的密钥,它是在创建用户时随机生成并保存在DB中的一个salt。最后,我将JWT发送到浏览器。
浏览器将JWT保存在localstorage中。
对于每次向后端请
浏览 3提问于2016-12-19得票数 0
回答已采纳
1回答
使用JWT的
、、
抱歉,我是API的新手
我有一个laravel项目,我想创建API将我的laravel数据库连接到移动应用程序,所以我尝试在我的作曲家上使用jwt。
"tymon/jwt-auth": "0.5.*"
之后,我添加了我的路由代码
Route::group(['prefix' => 'api'], function() {
Route::post('login', 'Api\AuthController@login');
Route::group(['middlewa
浏览 1提问于2015-12-07得票数 2
回答已采纳
我来自传统的HTML,frontend JS,css背景,所以我对从前端进行令牌身份验证有点怀疑。
因此当用户登录时,后台会生成JWT并将其发送到客户端。从那时起,我会将其存储在localStorage或sessionStorage中,以便在每次用户尝试访问私有路由时对它们进行“前端”身份验证。从传统的“总是客户端到服务器的通信”开始,我想知道这种方法是否非常安全。(尽管我知道JWT的解码过程是完全相同的,无论它发生在后端还是前端)。那么,与在后端路由相比,在前端路由时是否有任何额外的安全漏洞需要考虑?
编辑**
另外,如果我在前端解码,我的秘密不会暴露给所有人吗?
浏览 1提问于2018-03-15得票数 0
1回答
我已经阅读了双提交Cookies漏洞的问题,虽然它回答了很多问题,但我还是有点困惑。
我看过这个回购程序:https://github.com/jeongl/express-jwt-csrf-auth
这个实现的总结是,在经过身份验证的请求中,他们在cookie1中发送一个CSRF令牌,在cookie2中发送一个JWT令牌(其中包括CSRF令牌)。
然后,客户端将csrf令牌从cookie1中取出,并在本地存储它(假设),并使用csrf令牌发出一个带有x令牌头的请求。
然后,服务器对JWT令牌进行解码,并从原始响应中提取csrf令牌,并将其与x令牌标头进行比较。
我的问题是,如果攻击者能够访问
浏览 0提问于2017-10-12得票数 2
在我的app.py中,我将flask-jwt-extended初始化为:
# Setup the Flask-JWT-Extended extension
app.config['RESTPLUS_MASK_SWAGGER'] = False # remove default X-Fields field in swagger
app.config['JWT_SECRET_KEY'] = 'super-secret' # Change this!
app.config['JWT_BLACKLIST_ENABLED'] = Tru
浏览 0提问于2020-01-02得票数 3
我使用jwt:auth和laravel 5.2以安全的方式对CSRF攻击进行身份验证。
您可以在这里找到如何做>>
我在VerifyCsrfToken.php中间件中编辑了jwt数组,并添加了api/login和api/signup,因此我可以跳过这两个操作的jwt标记,因为当我试图登录或注册时,仍然没有密钥。
Route::group(['prefix' => 'api'], function() {
Route::post('login', 'Api\AuthController@login');
浏览 3提问于2016-05-03得票数 0
回答已采纳
3回答
Laravel JWT多页结构
、、、、
据我所知,基于JWT的授权系统通常是为SPA保留的(您知道,一个视图,一个React/ app.js /Vue应用程序,有一个臃肿的app.js文件),然而,我试图用一个稍微独立的结构化应用程序来利用JWT的魔力。
结构
与其从我的blade.php应用程序中提供一个blade.php视图来获取一个Vue应用程序和实例,我还试图提供两个单独的blade.php视图,每个视图作为各自独立的blade.php视图操作,一个是应用程序外部的blade.php视图,另一个是应用程序内部的blade.php视图(后期)。
应用程序的现状
为了支持我的应用程序的身份验证系统,我使用了库(一个漂亮的库),并
浏览 0提问于2018-03-22得票数 6
回答已采纳
对不起,我的英语很差,我来自乌克兰:)你能告诉我如何创建我自己的服务,从npm包扩展Jwt服务提供的jwt模块吗?我希望为捕获错误创建自己的JwtService,并隔离重复逻辑以创建和验证令牌。求你了,帮帮我,我怎么做?附代码样本。
import { BadRequestException, Injectable } from '@nestjs/common';
import { JwtService as NestJwtService, JwtVerifyOptions } from '@nestjs/jwt';
@Injectable()
export c
浏览 1提问于2020-08-29得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
