缩放api问题-无效的访问令牌- JWT
缩放API是指一种能够自动调整系统资源和容量以满足用户需求的技术。它允许系统根据实际需求进行动态扩展或缩减,从而提供更好的性能和可靠性。
无效的访问令牌是指在进行API请求时所使用的访问令牌无法被验证或认证通过,从而导致请求被拒绝或无法执行相应操作。
JWT(JSON Web Token)是一种用于进行身份认证和授权的开放标准(RFC 7519),它以JSON格式表示信息并使用数字签名进行验证。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含加密算法和令牌类型等信息,载荷包含要传输的数据,签名用于验证数据的完整性和真实性。
JWT的优势在于它具有自包含性,无需服务器存储用户会话信息,可轻量传输且易于使用。它还支持跨域通信,可以在不同的域名下进行身份验证和授权。
在云计算领域中,JWT可用于身份认证和访问控制,保护API的安全性。在应用场景上,JWT广泛应用于Web应用程序、移动应用程序和服务间的身份认证和授权。
腾讯云提供了与JWT相关的产品和服务,例如云身份认证(Cloud Authentication),它为开发者提供了一套简单易用的身份认证解决方案,可用于保护API和应用程序的安全。
更多关于腾讯云云身份认证的信息,请访问:云身份认证
请注意,以上仅是对缩放API问题中无效的访问令牌- JWT的简要解释和腾讯云相关产品的介绍。为了提供更全面和详细的答案,还需要根据具体情况进行进一步的分析和讨论。
相关·内容
4回答
JSON Web令牌过期
、、、、
大多数JWT (JSON Web Token)教程(例如:和)都说,一旦经过验证,您就可以使用传入的令牌来获取客户端信息,而无需从数据库进行验证。
我的问题是,如何维护无效的用户情况?我的意思是,假设一个客户端刚刚获得了一个JWT令牌,该令牌将在一周内过期。但是由于非常具体的原因,假设我们决定使用户无效,并且不想让用户访问我们的API。但是该用户仍然具有有效的令牌,并且用户可以访问该API。
当然,如果我们为每个请求往返到DB,那么我们可以验证帐户是有效还是无效。我的问题是,对于长寿令牌来说,处理这种情况的最好方法是什么?
提前谢谢。
浏览 1提问于2017-05-31得票数 17
我正在研究Oauth2,以允许开发人员授权其应用程序的用户使用我的服务。我发现一些消息来源说,当用户发送断言(在我的例子中是JWT)时,我的授权服务器应该返回访问令牌,但它不应该返回刷新令牌。我想知道返回刷新令牌有什么坏处。开发人员可以通过调用一个Api来使刷新/访问令牌无效,该Api使从特定JWT的id授予的任何访问权限无效。
浏览 4提问于2017-02-23得票数 1
1回答
我使用Azure作为spring引导应用程序的用户身份验证。我创建了一个应用程序来获取登录用户的访问令牌(令牌-创建者应用程序)。在这个应用程序中,'/ token‘API从@RegisteredOAuth2AuthorizedClient读取访问令牌,并返回与响应相同的令牌。
然后,我必须使用返回的令牌作为rest的承载令牌,用于具有相同客户端id和相同配置的另一个应用程序。
但是,当我使用该访问令牌时,它会给出以下错误:
承载error="invalid_token",error_description=“在试图解码JWT时出错:已签名的JWT被拒绝:无效签名”,e
浏览 5提问于2021-04-07得票数 0
1回答
我正在试图找出使jwt令牌无效的最佳方法。读其他的问题,我不明白什么是最好的方式。
我的后端配置如下:我有3个web,其中一个是使用asp net identity jwt配置的。为了使用其他2个web,客户机必须首先向登录API请求一个jwt令牌。
在进行测试时,我意识到,如果用户请求令牌,并且在重置密码之后立即请求令牌,则令牌不会失效,因为其他api上的验证只考虑颁发者和audienceSecret。
app.UseJwtBearerAuthentication(
new JwtBearerAuthenticationOptions
{
Authentica
浏览 0提问于2018-08-05得票数 2
回答已采纳
虽然我了解jwt用于身份验证的工作方式,但我正在尝试构建注册。
登记有一个需要核实的步骤。
用户输入电话号码
代码通过sms发送给用户。
用户输入代码并对设备进行验证。
因为它是一个用于移动应用的API,所以没有内置任何会话/cookie。
我想知道我是否能够实现像cookie这样的移动系统。让它与JWT一起工作。但我对此没有多少经验。
这是我目前的流程:
用户使用电话#发出帖子请求
我用JWT回复(时间:编号)
我还通过短信发送代码。
用户通过POST和JWT发送代码。
问题:
我不知道代码是否属于用户,因为我没有将代码保存在DB中。
我不
浏览 0提问于2018-07-15得票数 0
我想知道在更改密码/注销时使JWT无效而不点击db的最佳实践。
我有下面的想法,通过命中用户数据库来处理上述两种情况。
1.在密码更改的情况下,我检查存储在用户db中的密码(散列)。
2.在注销的情况下,我将最后一次注销时间保存在用户db中,因此,通过比较令牌创建时间和注销时间,我可以使这种情况无效。
但这两种情况的代价是每次用户点击api时都会命中用户db。任何最佳实践都是值得赞赏的。
更新:我认为我们不能在不点击db的情况下使JWT无效。所以我想出了一个解决方案。我已经发布了我的答案,如果你有任何问题,欢迎你。
浏览 70提问于2015-02-27得票数 78
回答已采纳
对使用JWT与访问令牌和刷新令牌进行身份验证做了一些研究。我是这样理解的。
登录后,返回到用户访问令牌和刷新令牌(两者使用相同的技术JWT )。在数据库中保存刷新令牌(一个用户可以为多个devices).Whenever用户发送一个具有无效访问令牌的请求,选中令牌并调用另一个以获得新的访问令牌(在客户端执行此操作)。在此之后,调用api再次使用新的访问令牌获取数据。如果刷新令牌无效,则删除其在数据库中的记录,用户必须再次登录才能获得新的刷新令牌.
我是否正确理解访问和刷新令牌技术?请给我一些建议。提前谢谢。
浏览 4提问于2020-10-17得票数 1
开发了一个Web,它使用AdalV3.14进行身份验证。下面是获取access_token的代码(使用ADAL提供的默认TokenCache )
var provider = "https://login.microsoftonline.com/XXXXXXXX.onmicrosoft.com"
var service = "https://XXXXXXXX.onmicrosoft.com/XXXXXXService" //which is registered as service in Azure AD
var clientId = "01d2b5
浏览 15提问于2017-10-09得票数 0
回答已采纳
1回答
我能够设置Azure Active Directory (aad)来验证运行角前端的Api的用户,现在我想通过只允许这个经过身份验证的用户向Api管理服务端点发送请求来保护后端。
因此,我遵循本文并面临两个主要问题:
/.auth/me端点只返回一个id_token,而不是一个access_token。
当我和邮递员在一起的时候,我不断地得到一些无效的观众,但是邮递员使用的观众看起来像是00000-00000.
下面是api管理服务入站请求策略jwt-验证:
<policies>
<inbound>
<base />
浏览 5提问于2021-01-18得票数 0
回答已采纳
1回答
我慢慢地掌握了使用Microservices进行身份验证的诀窍,但我遇到了一个相当基本的问题。我假设的架构如下:auth微服务、处理注册、登录、令牌刷新和处理用户待办事项的TODOS微服务。
我希望在刷新令牌的同时使用短命的JWT。
如何使用刷新令牌?由于JWT的过期时间太快(几分钟),我是否向todos提出请求?同时,如果JWT过期,我会发回一个错误(未经授权或JWT过期的特定错误)?然后,我会返回auth服务刷新,然后再以某种方式调用API吗?我是否在客户机上池并定期检查JWT是否已过期?
这些是我的一些问题,但基本上可以归结为
如何处理JWT到期?(在调用API和空闲时)是返回JWT已过
浏览 1提问于2022-04-01得票数 1
回答已采纳
无法使用Azure对后端api进行身份验证。错误说明无效的听众,但是aud声明在jwt.ms中故障排除时拥有后端api客户端id。
浏览 3提问于2020-12-10得票数 4
3回答
我正在我的应用程序中实现JWT,我希望使它们尽可能安全。我将列出我所计划的一切,我将非常感谢关于这个实现的安全性的任何建议。这是我的网站,我有充分的访问它的每一个方面,前端和后端。
这将是一个SPA,使用API访问后端.我使用JWT来保存每次命中API时的DB调用。
JWTs
JWT存储在access_token cookie中。它们首先进行签名,然后使用何塞-杰沃特加密。签名算法为HS256,加密为DIR。它们包括用户ID、过期exp声明和其他几个自定义声明。JWT在30分钟内到期,JWT cookie在7天内到期。
(简写):
存储在cookie中的JWT
JWT包括用户ID
JWT签名后
浏览 0提问于2016-08-12得票数 14
3回答
我正在开发一个使用JWT令牌身份验证的API。我在其背后创建了一些逻辑,以便使用验证码来更改用户密码。
一切正常,密码也变了。但是这里有一个问题:即使用户密码已经更改,当authenticating...the旧令牌仍然有效时,我得到了一个新的JWT令牌。
关于如何在密码更改后刷新/无效令牌,有什么建议吗?
编辑:我有一个关于如何做的想法,因为我听说你实际上不能使JWT令牌无效。我的想法是创建一个类似于"accessCode“的新用户列,并将访问代码存储在令牌中。每当我更改密码时,我也会更改accessCode (类似于6位随机数),并在执行API调用时对该accessCode进行检查
浏览 1提问于2018-09-24得票数 9
回答已采纳
微软似乎不会为个人帐户发行JWT访问令牌。
在Azure中,我创建了一个应用程序注册类型:“仅限个人Microsoft帐户”。
我的SPA使用应用程序注册,我可以通过它进行身份验证。
在对我的SPA进行身份验证之后,它将接收一个id令牌和一个访问令牌。
但是访问令牌看起来不像JsonWebToken。
AFAIK访问令牌总是以字符'eyJ‘开头,但是Azure AD发出的令牌以'EwC’开头,当我在jwt.ms上调试访问令牌时,控制台告诉我“指定的无效令牌:意外令牌”。
但是,只有当我选择帐户类型为“仅限于个人Microsoft帐户”时,才会出现这种情况。
如果我使用
浏览 5提问于2021-08-22得票数 0
回答已采纳
好的,我花了两天时间处理这个错误,然后找到了一个解决方案。在我的搜索中,我没有找到一个解决问题的单一答案(而是找到了多个最终指向解决方案的答案)。因此,我试图解释一下“访问令牌验证失败。无效受众”错误的解决方案:
TLDR:
检查"“是否在上使用MSAL进行身份验证时收到的访问令牌中作为AUD (观众)列出(微软位于站点jwt.ms源代码:后面)。在我的例子中,列出的是后端API范围,而不是"“,这就是为什么Microsoft检查访问令牌时”访问者“无效的原因。
解决方案是请求两个不同的访问令牌,一个用于后端作用域,一个用于作用域:
/**
* Retriev
浏览 6提问于2020-12-09得票数 1
回答已采纳
1回答
我正在设置一个服务,它需要根据现有的Gitlab作为OAuth提供者进行授权。
该服务是一个SPA,在开发模式下由webpack开发服务器提供服务,在生产模式下由nginx服务器提供服务。
我还设置了一个外部API,它应该处理数据库并向给定的gitlab实例发出请求(例如,拉取repos)。
我的SPA正在使用implicit_grant流对Gitlab OAuth进行授权,并正在获得访问令牌。目前,我在重定向后将access_token传递到我的API后端,在那里我通过使用access_token向Gitlab实例发出请求来获取gitlab用户I和用户名。有了这些,我生成了一个JWT,并将其
浏览 1提问于2019-01-22得票数 1
1回答
在我自己的应用程序中介绍了JWT之后。我正面临着一些问题,可能是我做错了。请给我建议最好的实施方法。
技术栈:(MERN) MongoDB Expressjs React .
成功登录后,我将在其中添加"user-id“,然后返回到UI层,从而创建一个新的JWT令牌。在UI结束时,我将该令牌存储在会话存储中。此令牌用于所有对服务器的进一步请求。在进入控制器之前,我将使用JWT验证在中间件中检查令牌。如果成功验证,next()将返回一个带有无效令牌的错误。
立即发布准确信息:
向用户1注册
使用用户1登录
成功登录后,从会话存储复制令牌。
然后注销用户1
向用户2注册
浏览 3提问于2018-03-24得票数 0
我试图在/token端点中获取访问令牌和刷新令牌。我获得了授权代码,我将传递令牌端点,但它抛出的授予请求无效错误。如何解决这个问题
配置
const oidc = new Provider('http://localhost:3000', {
clients: [
{
// client_id: 'foo',
// redirect_uris: ['https://jwt.io'], // using jwt.io as redirect_uri to show the ID Token contents
浏览 7提问于2021-05-10得票数 0
回答已采纳
2回答
我有一个基于Koa的Node.js后端用于我的个人/业余爱好应用程序。
我用JWT令牌实现了会话处理。客户端(AngularJS)在成功登录后获取令牌,并将令牌存储在某个地方(目前在sessionStorage中,但出于这个问题的目的,这不重要)。
我有两个问题:
当我需要更新JWT所代表的用户记录时,比如说,用户打开了双因素身份验证(2FA),所以我要求他提供他的电话号码,我想在用户的记录中设置这个电话号码。目前,在成功验证电话号码之后,我调用后端更新用户记录,并使用更新的用户记录创建一个新的JWT令牌(我将敏感信息排除在JWT令牌中,比如散列密码,但我希望包括用于客户端使用的电话号码)
浏览 6提问于2016-10-03得票数 10
2回答
在本地工作,我的jwt令牌是无效的,但是在jwt.io中它显示了经过验证的签名。不知道我错过了什么。每当我试图调用应用程序时,我的签名都是无效的。
Link.js
const { Router } = require("express");
const Link = require("../models/Link");
const auth = require("../middleware/auth.middleware");
const router = Router();
router.get("/", auth, asyn
浏览 5提问于2020-05-24得票数 1
回答已采纳
1回答
JWT令牌解码
、、
我正在创建一个基于web的移动应用程序。我担心的是,即使没有密钥,也可以从解码JWT令牌的有效负载。它显示无效签名错误,但仍然显示令牌中包含的有效负载。我想知道在这个场景中使用JWT令牌有多安全。下面是由我的API - eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJKb2UiLCJuYW1lIjoidnl3diJ9.8xeKufZ-U5ksijK2fCeU7gnZ5Xg-eUTqlZ2SdxrslklHNm519xYx-0DkhEyNe2NRhMUNfyhNsnkpZWim9lqi5w生成的一个示例令牌
也许我对JWT的理解是不够的,有什么解决办法吗?
浏览 1提问于2018-04-25得票数 0
1回答
我正在开发一个Spring应用程序。其余的API由JWT令牌保护。目前,我只生成访问令牌(未实现刷新令牌概念)。我的问题与这个场景中的用户登录/注销有关。大多数博客建议,在登出时,维护DB中黑名单中的令牌列表。这不会导致不必要的无效令牌的大列表吗?我的做法正好相反。请让我知道这种方法的回退。
在成功登录时,将生成一个承载访问令牌,我在DB中以LoggedInUsers的形式维护此令牌的白名单。
JWT过滤器将检查到期有效性、用户信息有效性以及令牌是否在DB中。如果所有这些都是真的,那么用户可以访问API。
退出后,令牌将从LoggedInUsers中删除。
密码重置后,令牌将从LoggedIn
浏览 0提问于2021-06-27得票数 0
回答已采纳
3回答
我是JWT实现中的新手,出现了一个问题。
我在php中使用JWT构建了一个用户登录身份验证。在用户登录时,如果用户的凭证是有效的,那么登录API的响应就是作为cookie存储的令牌,而不是有$_SESSION变量,而是通过调用API对令牌进行解码并在web应用程序的每个页面上检索用户数据来获得用户的数据。
如果用户想更新他的个人详细信息(姓名、电子邮件等),我希望基于新的详细信息生成一个新的JWT,并强制以前的过期或以某种方式使其无效。因此,在以后的API调用中,前面的令牌必须无效。我想在数据库上存储令牌,但我认为这是不对的。
我怎样才能让它起作用?
浏览 0提问于2019-10-10得票数 0
回答已采纳
1回答
在web客户端-服务器身份验证上下文中有关JWT的一些语句:
约壹三在中间的攻击中,人是不安全的。将JWT从客户端发送到服务器安全级别等于发送散列密码。
JWT可以将用户详细信息作为有效负载。在不访问DB中的实际数据的情况下使用这些数据是JWT特性之一。但是,如果DB数据更改,该JWT数据不会失效/更新。
在某些情况下,应该根据DB验证JWT的有效负载,并且/或明智地设置时间戳,以便在一段时间后使JWT失效。
一个真实的例子,客户端必须多次调用API才能完成一个工作流:用户希望知道从A到B的最短路径的价格,我们使用两种类型的JWT&一个"authJWT“&a
浏览 3提问于2016-08-04得票数 2
回答已采纳
1回答
我想为所有Api刷新我的令牌。该代码显示错误令牌无效。我在路由中也使用了jwt.refresh,但它不能刷新令牌。它在postman中也调用具有相同令牌的API。这是我的代码。 公共函数注销() {
$token = (string)JWTAuth::getToken();
$token = JWTAuth::setToken($token)->invalidate();
$newToken = JWTAuth::refresh($token);
return response()->json(['message'=>
浏览 9提问于2019-01-15得票数 0
我找到了很多的链接,但我没有得到解决我的问题。
我试图在asp.net内核中实现jwt刷新令牌。
为了存储刷新令牌,我创建了表。根据jwt建议,对于SPA应用程序,我们不应该向客户端公开刷新令牌。
所以我计划好了,
在用户登录时,创建访问令牌并与客户端共享为访问令牌创建刷新令牌,并将其存储在数据库中,并在用户访问授权控制器和操作时将其存储在HTTP 中,如果访问令牌过期,我希望基于刷新令牌生成新令牌。
但是,在很多地方,我发现,用户会发送请求。如果未经授权,用户将使用存储的刷新令牌(本地存储或其他东西)请求新的访问令牌,并再次调用有效的api请求。
我不想像最后一段提到的那样(这是对的吗?)
浏览 2提问于2020-02-17得票数 0
1回答
我试图连接到一个网站的API使用令牌授权在邮递员。
因此,我试图连接的URL是一个GET URL,如下所示:
https://seller.digikala.com/api/v1/profile/
然后在邮差,我将Authorization类型设置为BearerToken,并复制和粘贴令牌。
并且标头也设置为Content-Type of application/json
但我不知道为什么我会犯这个错误
{
"status": 401,
"message": "Invalid token!"
}
我还在jwt.io网站上
浏览 2提问于2021-11-20得票数 0
1回答
我在我的ASP.NET Core2WebAPI项目中使用JWT令牌
我的前端web客户端发送一个JWT令牌,它最初是从Web登录API获得的,每个请求都正常工作。不过,我还有一个离线客户端,它使用相同的API,最初在线登录,然后存储JWT脱机,只有在用户同步应用程序时才发送它,这可能会在一周后。令牌可能已经过期,或者服务器web应用程序在规定的时间内重新启动。
如果JWT令牌由于离线客户端过期而失败,我仍然希望命中Web控制器方法并填充ASP.NET Identity User对象,因为我需要用户名。我将记录这个事件,但我也需要来自过期/无效令牌的用户名。当前,如果身份验证失败,控制器方法将不
浏览 0提问于2018-02-09得票数 3
我试图在我的自动化工具(称为Tines)中配置自动化,它将查询GCP推荐API,并获得所有GCP项目的建议。
因此,这里自然涉及两个API服务:
cloudresourcemanager.googleapis.com (列出GCP项目)
recommender.googleapis.com (获得推荐)
为此,我创建了一个具有适当角色的服务帐户。我还有一个服务帐户的JSON密钥文件。我正在使用来生成签名的JWT令牌,它们工作得非常好。
我面临两个问题。
问题1:在创建JWT令牌时,当我尝试将过期时间设置为1小时以上时,身份验证失败。您知道如何提高JWT令牌的有效性吗?
问题2:
浏览 8提问于2022-08-11得票数 1
回答已采纳
1回答
我有一个用C#编写的web API (没有内核),我将JWT集成到其中,所以没有问题,现在,我想知道如何撤销当前存在的JWT,在它到期之前将其删除。 也就是说,我的JWT总共持续了20分钟,但是当我关闭会话时,我在我的应用程序中删除了该JWT,以便他们不能再使用它,但在API中,该JWT保持活动状态,直到它过期一段时间,我如何在我的API中删除或过期该JWT?
浏览 59提问于2019-08-24得票数 0
2回答
JWT令牌登录和注销
、、、、
嗨,我正在创建使用REST端点与服务器端通信的移动本机应用程序。我以前有开发本机客户端的经验,但在存储用户信息的同一表中,我有一个简单的令牌(随机生成的字符串)存储在DB中。因此,它就像浏览器中使用的会话,但是每个请求在头中都有令牌,而不是cookie。
最近,我展示了JWT令牌。这似乎是保护私有端点的好方法。您可以从移动客户端请求令牌,只要您通过+登录并得到响应生成的令牌。但重要的是,此令牌不存储在服务器上的任何位置,服务器使用秘密字验证令牌,这对于服务器来说是私有的,就像私钥一样。对于安全端点来说,这是可以的,但是如果我需要用户会话,应该做些什么,例如Facebook、Amazon、Ali
浏览 0提问于2015-10-02得票数 13
1回答
假设我有一个AWS Lambda和一个相关的API Gateway端点API (例如/user/{userid}/activities)。
此API既可以从经过身份验证的用户调用,也可以从未经过身份验证的用户调用,并基于此执行不同的操作。
经过验证的用户是拥有有效JWT的用户。未通过身份验证的用户,没有JWT,或者他们的JWT已过期或无效。
此JWT由自定义授权者验证,该授权者根据令牌的签名、公钥和其他参数(过期日期、颁发者等)进行验证。
与/user/{userid}/activities相关的lambda需要知道自定义授权器是否已经验证(或没有)相关的调用,因此可以选择应该使用什么行为。
浏览 1提问于2017-08-02得票数 0
我是单元测试的新手,我想测试我的API。因此,当我尝试访问LexikJWTAuthenticationBundle路径和CRUL命令行时,/login_check工作得很好。但是,当我尝试执行TestCase时,我会得到以下错误:
1) Tests\AppBundle\Controller\StoreControllerTest::testPOSTRate GuzzleHttp\Exception\ClientException: Client error: GET 导致401未经授权的响应:{“代码”:401,“消息”:“无效的JWT令牌”}
My testPOST函数:
public fu
浏览 0提问于2018-02-16得票数 0
1回答
我是JWT新手,我想知道当用户签出应用程序时,是否有可能使服务器端的JWT失效/无效(我还想知道这样做是否有意义!)想法是:
用户在其应用程序中单击“退出”链接。
App打电话给POST https://api.myapp.example.com/auth/invalidate
JWT (它是HTTP请求报头中的授权/承载令牌)以某种方式失效
现在,没有人可以再使用那个JWT了。
我不确定这是否是一种非传统的签出逻辑的方法,或者让JWT保持有效是否可以接受,即使在用户签名之后也是如此(我想我可以将JWT的有效期缩短到60分钟或更多)。
所以再次问一次:想知道是否有可能使
浏览 2提问于2018-01-08得票数 3
回答已采纳
我使用创建了一个.net核心API,通过向我的API发布凭据并将一个JWT返回到一个简单的客户端应用程序(普通HTML/TypeScript)来对用户进行身份验证和授权。请求包含用户名和密码。
...
var response = await cognito.AdminInitiateAuthAsync(request);
return Ok(response.AuthenticationResult.AccessToken);
vs
return Ok(response.AuthenticationResult.IdToken);
我遇到的问题是理解为什么会有ID令牌和访问令牌。我能够用授
浏览 4提问于2020-04-01得票数 7
回答已采纳
我正在用API实现JWT --在服务器端使用Sinatra ruby,在客户端使用Vuejs。
我理解为什么JWT需要签名:因为签名包含有效负载的编码,因此有效负载被破坏,所以签名是无效的。
但是头的用途是什么呢?
浏览 4提问于2021-05-26得票数 0
我使用速成网关作为API网关中间件,有以下设置。
Express网关仅用作网关,服务器位于不同的位置,并将所有登录请求路由到auth服务器以获得jwt,多资源服务器位于快速网关的后面。它不会授权或验证任何请求。所有传入请求都被视为已通过身份验证的。
我已经设置了EG配置,这样它就可以验证JWT,并且只通过正确的JWT传递请求。因为网关本身的授权checkCredentialExistence。
问题
当用户发送注销请求时,我将撤销来自auth服务器的访问和刷新令牌。但是,被撤销的JWT令牌仍然是一个有效的令牌。网关继续使用已撤销的jwt传递传入请求。
如果JWT在Express网关中仍然有效,
浏览 6提问于2020-02-24得票数 0
回答已采纳
2回答
使JWT在权限上无效
、、、、
人们通常在JWT中存储权限吗?我见过可能有admin: true或scopes: ['add_foo', 'delete_foo', 'read_foo']的例子。这似乎还不错,如果有大量的权限/作用域,JWT可能会变得很大。它看起来非常有用,因为只要能够验证JWT,就不需要访问DB或缓存来获得用户权限。
不过,我的主要问题是,在发生权限更改时,这些参数将如何失效。
例如,sys admin Joe撤销用户Bob的'add_foo‘和'delete_foo’权限,但保留'read_foo‘权限。在这个场景中,用户Bob不应
浏览 2提问于2017-03-07得票数 0
1回答
我使用的是Express Js和jsonwebtoken以及^7.4.1版本。
问题:
如何区分expired和invalid令牌
如何使用refresh tokens和JWT
当我验证JWT令牌时,express js创建的令牌总是无效的,但是当使用相同的数据在jwt.io中创建令牌时是有效的。我有遗漏什么吗?下面是该的链接
(无效令牌)
(有效令牌)
生成JWT令牌return jwt.sign(user, config.secretKey, { expiresIn: 10 //Time to expire token in seconds. });的代码
浏览 1提问于2017-10-01得票数 1
回答已采纳
有oauth2服务器和一些服务。
某些用户已在计算机上进行了%2个服务的授权,并获得%2个access_tokens。并且这个用户已经在手机上授权了一些服务,并获得了另一个access_token。
用户从所有服务从计算机上注销。注销必须使此会话(计算机)的所有access_token无效:令牌123、789。
如何正确绑定access_token和用户会话?OAuth2服务器具有web前端,并通过cookie中的JWT令牌记住用户。它是正常的绑定access_token与这个JWT令牌,当用户在oAuth2服务器上点击注销,然后获得所有的access_token,与这样的JWT令牌
浏览 0提问于2020-07-01得票数 0
1回答
我正在尝试实现JWT身份验证和授权,但是我担心前端部分的JWT篡改。我得到了后端的顺利和安全的工作。现在我在Angular 5中实现了JWT授权和身份验证。我是一个实现JWT令牌的初学者,所以请耐心听我说,希望你们能对此有所了解。
我知道,每当您篡改令牌时,JWT都会因为签名而失效。后端将拒绝处理该请求,但假设前端有以下场景:
1-恶意用户使用普通帐号登录,并从后端接收JWT令牌。
2-恶意用户通过向有效负载添加额外的"admin“角色来篡改JWT令牌(这会使jwt无效)
3-恶意用户试图访问持有被篡改的JWT令牌的受保护路由
4- Route guard检查令牌是否过期(通过检查有效
浏览 27提问于2018-04-12得票数 1
回答已采纳
LlI发现了这个JWT,它为JWT令牌和刷新令牌提供了一个很好的介绍:
现在我正在尝试将这个设计与一个React应用程序集成起来。我可以将JWT存储在我的应用程序上下文中,然后将其传递给API端点。每个端点将包括一个身份验证钩子,以使用所提供的令牌验证身份验证。
我认为,如果原始身份验证令牌在到期后10秒内,则身份验证挂钩可以生成并返回刷新令牌。
但是,使用这种^方法,我似乎需要将auth令牌或刷新令牌作为API端点响应对象的一部分返回,这样我的反应性应用程序就能够轻松地获得该刷新令牌的句柄,并将其传递给下一个API端点调用。
因此,我只是假设我的React应用程序和Expr
浏览 1提问于2020-03-31得票数 1
我有react应用程序,可以通过Azure AD登录用户。在那之后,我将react应用请求创建到我的.net核心mvc应用中,标题为Authorize。但是当我在我的控制器中添加Authorize attr时,我得到了错误: 承载无效“invalid_token”,error_description=“签名无效” 所有我需要的是,我的后端应用程序只检查范围或角色从JWT令牌,并允许获得一些数据。我知道JWT是正确的,并反应应用程序登录用户没有任何问题。 与此类似的问题:https://forum.ionicframework.com/t/validating-token-signatures
浏览 15提问于2020-12-08得票数 0
回答已采纳
我的项目使用api管理服务作为azure APIM,我试图使用APIM产品策略.If验证声明,声明无效,返回错误,否则允许访问结束point.Following是我的策略
<policies> <inbound> <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized. Access token is missing or invali
浏览 9提问于2020-09-24得票数 0
回答已采纳
2回答
我使用JWT在PHP中创建了一个api。我已经为代币设定了10分钟的到期时间。如何验证用户在10分钟后是否仍然登录?
与OAuth一样,提供刷新令牌和访问令牌,使用刷新令牌,我们可以生成新的访问令牌。但我在一个git线程中找到了The JWT standard does not have any concept of a "refresh token" or "access token".。
创建令牌的JWTHandler函数:
public function jwtEncodeData($iss, $data)
{
$this->token =
浏览 14提问于2022-03-31得票数 1
回答已采纳
2回答
我目前正在使用Django (2.1)构建一个API,并添加了djangorestframework-jwt来管理JWT。
以下是配置:
JWT_AUTH = {
'JWT_SECRET_KEY': SECRET_KEY,
'JWT_VERIFY': True,
'JWT_VERIFY_EXPIRATION': True,
'JWT_EXPIRATION_DELTA': datetime.timedelta(days=14),
'JWT_ALLOW_REFRESH': Tru
浏览 0提问于2018-08-30得票数 3
回答已采纳
在我的应用程序中工作时,我随机得到以下错误:
无效的JWT令牌。令牌过期了。
SecurityTokenExpiredException:无效的JWT令牌。令牌过期了。
( Microsoft.IdentityModel.S2S.Tokens.JsonWebSecurityTokenHandler.ValidateLifetime(JsonWebSecurityToken令牌) +296
Microsoft.IdentityModel.S2S.Tokens.JsonWebSecurityTokenHandler.ValidateTokenCore(SecurityToken令牌,布尔isAc
浏览 1提问于2016-05-10得票数 0
对于使用JWT和Facebook进行restful应用程序的身份验证,我有一个问题。
我使用Symfony 4和身份验证“lexik/ jwt -身份验证-bundle”:"^2.6",根据用户名和密码生成jwt令牌。
下面是我的配置security.yaml:
security:
encoders:
App\Entity\User: bcrypt
providers:
database:
entity:
class: App\Entity\User
浏览 6提问于2020-01-18得票数 2
1回答
我们正在构建一个客户应用程序。为此,我们正在使用会计软件(ZOHO)。从会计软件中获取项目,并使用API在会计软件上直接生成账单。API正在使用JWT进行身份验证。然后,为每个用户生成JWT令牌是一个“用户同意页面”,它应该由web浏览器手动批准。因此,对于我们不打算注册为用户的每个客户,我们计划将他们创建为仅仅是客户。
我们现在实际上计划做的是创建一个JWT令牌对(在手动批准之后),并将其用于所有API调用的所有客户。我首先关心的是,这会是一个好办法吗?
第二个问题是,令牌的有效期为1小时。之后,我们应该使用刷新令牌来生成新的令牌。我们如何在网络和移动设备上有效地处理这个问题( web和移动
浏览 2提问于2021-08-02得票数 0
我在我的网络应用程序中使用OKTA。在成功的身份验证之后,我在会话中获得了cookie,但我不明白为什么没有JWT令牌(我想要为这个应用程序做一个灵活的客户端)。我到底用了什么?有人有这方面的经验?
为什么我没有JWT,尽管事实上openId是基于JWT的?当我粘贴JWT解码器中的每个cookie时,它是无效的.
浏览 2提问于2021-12-12得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
