腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
php jwt登录存储
javascript
、
php
、
cookies
、
jwt
我正在用CodeIgniter 4构建一个web应用程序,其中我实现了一个REST API用于注册和登录,还有一个个人资料页面,只是用来测试我的登录。 我有一个登录表单,它向我的api发送一个javascript fetch post请求,并接收一个jwt令牌。这是有效的。 现在我的处境是,我认为我不理解这个原则。我希望用户保持登录状态,不需要每次都重新登录。令牌在12小时后过期。 我想使用php (如果可能的话),因为整个应用程序都在php上运行。 目前,我有一个小的javascript函数来存储我的令牌: const store = {}; store.setJWT = (data) =
浏览 25
提问于2021-10-07
得票数 3
回答已采纳
1
回答
使用访问令牌和刷新令牌持久化身份验证
node.js
、
reactjs
、
cookies
、
jwt
我试图弄清楚我应该如何坚持身份验证。 假设用户使用电子邮件和密码成功地进行身份验证。因此,服务器生成并返回两个令牌: 将在浏览器storagerefreshtoken (jwt过期7天)中存储的accesstoken (jwt过期15分钟)作为安全cookie。 当在本地存储(或会话存储)中存储访问程序时,React只需检查存储中是否存在它,然后继续呈现私有路由。因此,这意味着如果用户拥有无效/被盗的访问权限,那么在令牌被检查和失效之前,React似乎仍然暂时呈现私有页面(尽管没有私有内容)。这是个奇怪的行为吗? 在这种情况下,应该在用户每次访问私有路由时响应app验证和刷新令牌吗?随时随地获
浏览 2
提问于2019-10-19
得票数 0
1
回答
使用HttpOnly cookie时避免刷新令牌进行身份验证
authentication
、
oauth
、
jwt
、
local-storage
、
cookie-httponly
我有一个不使用刷新令牌的身份验证系统的解决方案。请告诉我这种方法的漏洞在哪里。 我假定以下几点: 客户端和服务器位于同一域中。Client是支持HttpOnly cookie的浏览器。客户端使用的是单个页面应用程序。 这些步骤是: 通过向credentials.Server向/api/auth发出请求,对用户进行身份验证,并发送带有包含JWT的 HttpOnly cookie的 set -Cookie Header的。<code>H 219</code><code>H 120</code>客户端接收和设置HttpOnly cookie。客户端还
浏览 5
提问于2022-04-07
得票数 2
1
回答
如何使用Redux存储我的用户身份验证(令牌)?
angular
、
redux
、
angular8
、
redux-store
我开发了一个铬的扩展,在那里我将登录链接到网站。 我使用JWT令牌对用户进行身份验证。因此,我将这些令牌存储在本地存储区和cookie中。但是,我不想将它存储在浏览器的本地/会话/cookie中以调用API。我浏览了Redux图书馆。 如何使用redux避免将令牌存储在本地/会话/cookie中? 任何示例代码片段都将非常有用。
浏览 3
提问于2019-11-12
得票数 0
1
回答
将jwt保存在cookie中以将其传递给本地存储是否安全性差?
javascript
、
angularjs
、
security
、
cookies
、
jwt
为了让我的twitter登录使用jwt会话和angularjs,我创建了一个具有twitter用户名和显示名的jwt,并将其作为cookie传递并保存到本地存储。以下是一些相关代码: 登录用户并保存cookie: app.get('/login/twitter', passport.authenticate('twitter')); app.get('/login/twitter/callback', function(req, res) { passport.authenticate('twitter'
浏览 1
提问于2017-09-14
得票数 0
回答已采纳
1
回答
如何在客户端使用Passport &JWT进行授权?
node.js
、
express
、
jwt
、
passport.js
、
express-jwt
我目前正在为朋友的足球队创建一个定制CMS。该体系结构如下: 在后端,我有一个与数据库(mongoDB)交互的API。 在前端,我有一个使用模板引擎把手为页面服务的特快服务器。 目前,我已经设法使用Passport和JWT对API的请求进行身份验证,这对于查询API是很好的,登录时我将在用户的cookie存储中存储一个具有权限的JWT(它是静态页面,而不是SPA,因此我无法访问本地/会话存储)。 我的问题是,我很难在客户端实现访问管理面板的授权。我应该在客户端上解码JWT并读取用户角色,然后如果用户是管理员,则为管理页服务,还是应该发送每个请求访问API前端的管理部分以进行验证检查,然后提供文
浏览 2
提问于2017-05-10
得票数 0
回答已采纳
2
回答
Angular JWT和登录后的用户信息存储
javascript
、
ajax
、
angularjs
、
local-storage
、
jwt
在成功登录后,将除JWT之外的任何其他用户信息保存在本地存储或cookie中有多好的做法?(用户配置文件对象已在jwt有效载荷子部分中保存和加密。)我需要用户配置文件对象准备好在角度初始化任何其他(获取用户角色,登录状态等)。 如果我只在客户端保存JWT,我需要一个额外的ajax请求,以便在应用加载之前从服务器端的JWT解码中获取用户信息,因为令牌秘密在服务器上(仅在整个页面刷新之后)。Token是有效的或无效的,因此在这种情况下处理错误要容易得多。 如果我将JWT和用户配置文件对象作为字符串保存在客户端的存储中,那么这是冗余的,用户可以手动更改对象和应用程序。 我更喜欢在成功登录后只将JWT
浏览 3
提问于2015-01-03
得票数 3
1
回答
会话标识应该在cookie中加密吗?
security
、
jwt
、
session-cookies
在一个页面应用程序中: 我想使用httpOnly/Secure cookie来验证been令牌是否从本地存储中被窃取。 换句话说,在被认为有效之前,必须出示cookie和承载令牌并对其进行交叉检查。 例如: 用户使用用户名/密码成功登录。 创建了一个Jwt标记,并包含一个会话Id为12345。 另外,cookie被格式化为jwt并签名,并包含会话Id为12345的声明。 现在,当使用令牌和cookie发出ajax请求时,将比较会话id。如果它们匹配,则满足请求。 这安全吗?还是应该在cookie或令牌上加密会话Id?
浏览 4
提问于2018-05-27
得票数 1
回答已采纳
1
回答
在Next.js、graphQL、Apollo客户端中实现身份验证
express
、
cookies
、
graphql
、
next.js
、
apollo-client
我正在尝试在前端使用NextJS和apollo客户端构建SSR应用程序,在后端使用express (graphQL Yoga)构建graphql。 我来自客户端渲染背景,当涉及到身份验证时,那里的事情比SSR更简单,在常规的客户端渲染中,我对用户进行身份验证的方法如下: 1-一旦用户在服务器验证后登录,使用当前用户数据签署JWT,然后将其发送到客户端,并将其保存在本地存储或cookies等中。 2-实现一个loadUser()函数,并在(根)应用程序组件的useEffect钩子中调用它,以便在本地存储中的JWT有效的情况下在每个组件(页面)中加载用户。 3-如果JWT不在那里或无效,只需将us
浏览 0
提问于2020-08-11
得票数 1
1
回答
我应该在哪里保存jwt刷新令牌?
node.js
、
jwt
、
ejs
、
express-jwt
我使用了Nodejs和ejs以及passprot。 我通过httpOnly属性在cookie中保存了jwt令牌。 在呈现页面之前,router.get('/',isauth.verifyToken(), adminController.checkUser);,请检查令牌是否有效。 如果令牌无效,请将其重定向到登录页。 exports.verifyToken = ()=>{ return passport.authenticate('cookie', { session: false, failureRedirect: '/users/log
浏览 2
提问于2022-05-03
得票数 2
1
回答
JWT本地存储、Cookie和页面重新加载
javascript
、
jwt
、
local-storage
我理解基于cookie的身份验证和基于JWT的身份验证之间的区别。 我知道在通过fetch调用API之前,我可以访问本地存储来获取token的值,并通过request传递。如果我重新加载页面,这将如何工作?如果我使用了cookie,它将自动在HTTP请求中发送。 请帮我把它弄清楚。
浏览 28
提问于2021-06-02
得票数 0
1
回答
在LocalStorage中首次登录时存储一个短暂的JWT安全吗?
web-application
、
jwt
、
local-storage
我当时正在阅读这个问题,但仍然对我的用例产生怀疑。 我知道,由于XSS攻击,在本地/会话存储中存储JWT是不安全的。但是,如果JWT只在第一次登录时持续1分钟,怎么办?然后,客户端将使用它获得一个更长+更安全的JWT,以便从那时起继续登录。 我正在使用第三方身份提供程序来处理初始登录。我之所以要这么做,是因为他们返回JWT的API不支持httpOnly (不管出于什么原因)。在从服务器获得一个新的httpOnly cookie之前,我仍然必须暂时将JWT存储在某个地方。或者我应该将它保存在状态(我正在使用React)? 这个方法安全吗?我的理由是,即使他们得到了JWT,它只会持续1分钟才到期。
浏览 0
提问于2020-08-06
得票数 0
1
回答
实现CSRF免费JWT认证的安全方法
javascript
、
php
、
cookies
、
csrf
、
jwt
我刚刚了解了JWT的身份验证。将JWT令牌存储在localStorage/sessionStorage中是向XSS公开的。将其存储在cookie中容易受到CSRF的攻击。我一直在研究这个问题,我想出了这个解决方案,但我不确定这个方案有多安全,我是否应该在生产中使用它。 解决方案是从服务器获取JWT令牌,并将其存储在cookie中。生成一个CSRF令牌(将存储在JWT中),该令牌将与每个HTML页面一起发送,或者在隐藏的HTML字段中作为全局JS变量()发送。将使用JS/AJAX与每个请求一起发送CSRF令牌。这样,我们可以先排除CSRF,然后验证JWT令牌。 我不确定是否应该在每个加载的页面上
浏览 2
提问于2016-08-26
得票数 1
回答已采纳
1
回答
在使用Anguar2路由器时删除JWT令牌
angular
、
jwt
、
router
我正在创建一个带JWT身份验证的Angular2/ Node.js应用程序。我的身份验证工作正常,JWT令牌存储在本地存储中。 现在,我正在通过路由器点击一个链接登录到其他的html页面,没有服务器呼叫。但是,在新页面中,JWT令牌将从本地存储中删除。我没有加载整个页面,它停留在相同的浏览器中,所以不确定为什么本地存储中缺少令牌。任何帮助/建议都将不胜感激。 下面是我的路由器定义 const appRoutes: Routes = [ {path : '', component : LoginComponent}, {path : 'logout', compo
浏览 4
提问于2017-07-15
得票数 1
回答已采纳
2
回答
在redux store中存储JWT令牌安全吗?
reactjs
、
redux
、
jwt
我正在做一个项目,但我想知道,如果我已经在我们的应用程序中使用redux,那么我们可以停止使用httponly cookie来存储令牌吗? 这是我的reducer,我以这种方式将令牌存储在我的reducer中。而且每当用户重新加载页面时,我都会使用redux-persist来持久化用户。 那么,建议这样存储jwt令牌吗? import * as types from "./user.types"; const initialState = { token: null, user: {}, loading: false, error: null, }; co
浏览 28
提问于2021-07-18
得票数 0
1
回答
是否应该在每个请求中验证JWT?
cookies
、
jwt
、
aws
、
cognito
我一直未能就上述问题找到明确的答案。 我们目前使用来自白兰地的JWT进行身份验证。目前,返回的JWT太大,无法在Cookies中使用(超过4KB的限制),因此我们不会将整个JWT存储在cookie中。 我们的当前流程是登录用户,然后验证接收到的ID令牌(JWT)。然后根据这些信息创建一个FormsAuthenticationTicket和Cookie。Cookie包括用户的相关ID信息和原始接收ID令牌的ExpirationDate。 这意味着对于所有未来的页面加载,我们只需检查Cookie是否过期。如果是的话,我们知道他们需要再次登录。 是否需要将Would作为cookie发送并在每个页面请
浏览 0
提问于2020-01-27
得票数 4
回答已采纳
1
回答
成功登录后,用户将重定向到加载SPA的主页。在JWT中使用会话cookie是个坏主意吗?
node.js
、
express
、
authentication
、
jwt
我有一个express + postgres后端,我正在使用passport-facebook for FB oauth。 如果用户在/上访问我的应用程序时没有localStorage中的有效令牌,他们就会被带到/login。 我的/login页面(在那里你会看到熟悉的“继续使用Facebook”的消息)是服务器渲染的(出于各种原因)。单击此按钮后,我要么验证用户是否存在并向他们发送带有初始JWT的会话cookie,要么创建一个新用户并向他们发送带有初始JWT的会话cookie。在这两种情况下,成功的条件都是它们被重定向到/并为SPA资产提供服务。 SPA首先要做的一件事是从会话cookie中
浏览 3
提问于2017-07-26
得票数 0
2
回答
是否有任何理由使用HTTP头授权来发送JWT令牌而不是cookie?
cookies
、
jwt
、
http-headers
、
authorization
是否有理由使用header授权来发送JWT令牌? 我对使用授权头和cookie感到困惑。 如果我用饼干, 服务器将在cookie中发送JWT令牌。(客户端将存储在cookie中)。 如果使用授权头,服务器将通过报头发送JWT令牌,客户端将将令牌存储在本地存储中。 我想这两个人都很容易受到安全的伤害。我查过几个帖子,但只说这两种方法都很危险。 请帮助我理解这一点。谢谢。
浏览 10
提问于2022-05-10
得票数 3
2
回答
访问令牌、刷新令牌和用户数据
reactjs
、
jwt
、
.net-6.0
、
refresh-token
我正在为我的应用程序使用JWT身份验证方案。我做了一些关于如何存储、使用访问和刷新令牌的研究,我有几个问题我没有找到真正的答案。对于这个应用程序,我使用React作为前端,使用.NET 6 Web作为备份。 问题1:在哪里存储什么? 基于我所做的研究,出于安全考虑,本地存储并不是存储jwt令牌的好地方。因此,第二个最好的选择可能是用于jwt令牌的HttpOnly cookie和用于刷新令牌的本地存储。但是,我确实读过一些文章,其中jwt令牌存储在本地存储中,而刷新令牌存储为HttpOnly cookie。哪种方法更好,每种方法的优缺点。P.Si将旋转这些令牌,即,一旦刷新旧jwt令牌,将生成一
浏览 13
提问于2022-11-15
得票数 0
2
回答
木偶师:如何存储会话(包括cookie、页面状态、本地存储等)并在以后继续?
session
、
cookies
、
browser
、
local-storage
、
puppeteer
是否可能有一个Puppeteer脚本打开并与页面交互,然后将浏览器会话保存为-原样,并有另一个脚本加载该脚本并从那里继续? 所谓“浏览器会话”,我指的是当前加载的页面,包括页面状态(DOM空间和javascript变量等)、cookie、本地存储,以及整个shebang。基本上,它所需的一切都要在前面的脚本停止的地方继续。 如果没有,那么至少可以导出和导入cookie和本地存储吗?因此,我可以重新加载一个特定的页面,并继续处理,保持任何登录或会话数据的完整。
浏览 34
提问于2019-09-18
得票数 24
回答已采纳
1
回答
在带有Spring后端的NextJS应用程序中存储JWT
spring
、
cookies
、
next.js
、
jwt
目前,我正在使用NextJS和一些后端构建一个应用程序,但在处理JWT时遇到了一些疑问。 我的问题是,我想要创建私有页面,所以我将来自Spring后端的JWT令牌存储在授权头中,并将其存储在本地存储中,但是当我试图在ServerSideProps上获取令牌时,我无法访问本地存储,因此我找到了另一个存储令牌的解决方案。 我发现您可以将令牌存储在仅限HTTP的cookie中,但我有一些疑问: 如果当用户登录时,将我的令牌保存在HTTP的Security微服务中,那么它可以在任何时候在NextJS前端抓取我的ServerSideProps吗?否则,当收到来自/loginI的响应时,我将不得不将其保存
浏览 3
提问于2022-02-05
得票数 0
2
回答
在sessionStorage中存储JWT安全吗?
web-application
、
cookies
、
jwt
、
local-storage
来自这篇文章的Auth0建议在本地存储JWT (或cookie)。但是OWASP的这篇文章建议不要在本地报道任何敏感数据(甚至sessionStorage)。 那么,在本地存储JWT令牌是否安全?
浏览 0
提问于2018-02-09
得票数 27
回答已采纳
1
回答
vue jwt令牌存储
security
、
vue.js
、
jwt
我在udemy上关注vue课程,并查看了几个在线资源,它们似乎都有一个过程,我将用户名和密码发送到我的api,然后它返回我的jwt访问令牌。然后将令牌存储在状态中(使用vuex),并且为了支持页面刷新(并保持用户登录),它还将jwt令牌保存到本地存储中。 由于我没有使用cookie,我的理解是我不必担心csrf。 OWASP建议不要将令牌存储在本地存储中(我认为主要是由于存在xss漏洞)。authO网站()说我应该存储在内存中(例如我用vuex做的那样)。 我如何遵循不使用本地存储的建议,并确保如果用户刷新页面,他们仍然登录(没有cookies),或者这将是不可能的。
浏览 3
提问于2018-12-05
得票数 2
1
回答
如何检查浏览器中是否存在同名的cookie,并据此授予对特定页面的权限
javascript
、
express
我正在创建一个使用express,node和MySQL的授权系统,所以我使用jwt令牌来授权用户,现在我已经将jwt存储到cookie中,我想检查jwt是否存在于cookie中,如果存在,则允许用户访问页面,否则应重定向到登录页面
浏览 15
提问于2019-09-10
得票数 1
回答已采纳
1
回答
在Vue SPA的页面重新加载时保留cookies
python
、
vue.js
、
flask
、
flask-jwt-extended
我正在使用Flask创建一个简单的SPA,其中包含Vue前端和Python API。目前,我已经在本地机器上完成了所有配置(API在localhost:5000上运行,Vue SPA在localhost:8080上可访问)。我使用flask-jwt-extended来管理使用JWT的身份验证,并在对Vue SPA的响应中将访问和刷新令牌作为cookies传回。 几乎一切正常,cookie在浏览器中被正确设置,但是在页面刷新后cookie消失了。我觉得我只是在我的配置中遗漏了一些东西,但到目前为止,我尝试过的任何东西都没有对我起作用。有什么想法吗? 我的jwt扩展配置设置如下: JWT_ACC
浏览 15
提问于2020-04-01
得票数 0
1
回答
使用Firebase的ReactJs,是否需要在本地存储用户凭据/令牌?
reactjs
、
firebase
、
firebase-authentication
、
react-router
因此,我想为我的应用程序创建一个受保护的路径,我阅读了这篇文章。一些我没有看到任何本地存储或曲奇的使用。我以前已经用我的自定义jwt+Spring创建了保护路由,并且我检查了令牌(如果它存在于本地存储中)。我想知道firebase库是否会自动为我设置本地存储空间,所以我不必担心,否则用户重新加载/刷新页面后凭证就会被重置。
浏览 3
提问于2022-01-06
得票数 0
回答已采纳
2
回答
为什么我要在JWT令牌中放置一个CSRF令牌?
javascript
、
cookies
、
csrf
、
jwt
、
owasp
我想从中对JWT令牌和CSRF产生疑问,这说明了在localStorage或cookies中存储JWT的优点和缺点。 ..。如果您正在使用JS从cookie中读取值,这意味着您不能在cookie上设置Httponly标志,所以现在站点上的任何JS都可以读取它,从而使其与在localStorage中存储某些东西的安全性级别完全相同。 我试图理解为什么他们建议将xsrfToken添加到JWT中。在cookie中存储JWT,然后提取JWT,然后将JWT放在HTTP报头中,并基于HTTP报头对请求进行身份验证,这样会完成与角的XSRF令牌相同的任务吗?如果您基于标头中的JWT进行身份验证,则没有其他
浏览 4
提问于2016-01-26
得票数 7
1
回答
Vue3:将Vuex状态更新到组件中
vue.js
、
vuex
、
vuejs3
当我更新Vuex中的用户状态时,我希望它也能在前端立即更新,而不需要重新加载页面。我发现了一些相关的问题,但这些问题对我没有用。 有一件事是我出口商店作为一个功能。 这就是我现在拥有的: <div v-if="user"> test </div> <script> import store from "../store"; export default { data() { return { user: store().getters.getUser
浏览 11
提问于2022-08-25
得票数 0
回答已采纳
1
回答
为Node.js webapp和独立API保护React.js REST
javascript
、
jwt
、
node.js
、
react
我正试图为我的Node.js REST创建一种安全的身份验证方法,它既适用于直接API请求,也适用于我的React.js web应用程序。我已经阅读了一些关于如何正确地存储身份验证令牌以防止XSS和CSRF的研究,所以我想介绍一下我提出的内容,看看其中是否有漏洞,或者它是否有效。 该方法将使用JWT、本地存储(React )和cookie (Node )的组合。 API有一个端点/authentication。调用时,它将生成一个CSRF令牌,并将其包含在JWT的有效负载中。然后,它将使用JWT设置cookie (HttpOnly,secure),并返回said JWT。 当从我的/authe
浏览 0
提问于2019-07-09
得票数 3
1
回答
为什么JWT Wordpress插件推荐将令牌存储在cookie/localstorage中?
authentication
、
wordpress
、
jwt
阅读有关JWT的文章时,我附带了一个非常有趣的主题,如果jwt令牌在与wordpress一起使用时没有得到适当的安全保护,那么它就是jwt令牌的漏洞。 因此,问题是将令牌存储在cookie中将使其容易受到XSS或CSRF攻击,但是wp-api-jwt-auth的文档表示: 获得令牌后,必须将其存储在应用程序的某个位置,例如在cookie中或使用本地存储。 这是正确的吗?它不是很脆弱吗?
浏览 0
提问于2019-01-26
得票数 0
回答已采纳
7
回答
ASP.NET核心WebAPI Cookie + JWT身份验证
c#
、
authentication
、
cookies
、
asp.net-core
、
jwt
我们有一个带API后端(ASP.NET核心WebAPI)的SPA (Angular): SPA在app.mydomain.com/API上侦听app.mydomain.com和API 我们通过内置的Microsoft.AspNetCore.Authentication.JwtBearer使用JWT进行身份验证;我有一个创建令牌的控制器app.mydomain.com/API/auth/jwt/login。SPA将它们保存到本地存储中。所有工作都很完美。在安全审计之后,我们被告知将本地存储转换为cookies。 问题是,app.mydomain.com/API上的应用程序接口被SPA使用,但也被
浏览 2
提问于2018-03-24
得票数 28
3
回答
如何在react/next.js应用程序中安全地存储JWT令牌?
javascript
、
reactjs
、
jwt
、
next.js
我需要存储JWT令牌,这是当一个有效的用户登录后通过REST API正确注册时生成的。我阅读并找到了在客户端存储JWT的方法:本地存储、会话存储、cookie、HttpOnly cookie、浏览器内存(React状态)。 需要建议以适当的方法存储JWT,还可以使用JWT令牌访问get的某些API作为post请求标头参数用户相关的数据。 这里是我登录代码部分,此时我将JWT令牌存储到窗口对象,以前保存在本地存储上,但现在需要以除本地存储或cookies之外的其他方式进行安全存储。 const handleSubmitLogin = evt => { evt.preventDefault
浏览 105
提问于2020-09-03
得票数 3
回答已采纳
1
回答
Cookie在设置后第一次未找到
javascript
、
cookies
在我的本地主机上,我有几个页面。第一个页面设置一个cookie来保存一些数据。所有页面都读取cookie并显示数据。在Chrome和IE7中,一切都运行得很完美。我的远程主机上的文件是本地主机上的文件的副本,因此它们是完全相同的。然而,如果我访问我的远程主机上的页面,在Chrome中找不到cookie,但在重新加载页面或访问另一个页面后,可以正常找到cookie并正确显示数据。因此,每次JavaScript尝试在上一页设置后直接查找cookie时,都找不到它,但在所有下一次都没有问题。如果我使用IE7访问远程主机上的页面,则根本找不到cookie,尽管它似乎设置正确。 有人能解释一下本地主机和
浏览 1
提问于2013-04-12
得票数 0
1
回答
重装时取出的曲奇-反应和瓶
python
、
reactjs
、
flask
、
cookies
如何防止铬在浏览器重新加载时删除cookie? 当用户创建如下所示的帐户时创建的cookie,过期/最大年龄将在1个月后。但是,当我重新加载/刷新页面时,cookie就消失了。然而,邮递员中的cookie并没有被删除。域(前端): 域(后端): 更新(2021年9月22日): React: --这是我处理获取请求的方式。我将凭据设置为include。 fetch(domain + "/account/create", { method: 'POST', // or 'PUT' header
浏览 3
提问于2021-09-20
得票数 0
1
回答
Vue Cookies .get('token')返回空
javascript
、
vue.js
我的项目是使用vuex、axios、vue-cookie和JWT。我有一个名为api.js的文件,它导入到我的主vue js中,下面是api.js代码; import axios from 'axios' import Vue from 'vue' import { store } from "@/store"; export default axios.create({ baseURL: store.state.endpoints.baseUrl, headers: { Authorization: `JWT
浏览 2
提问于2020-10-28
得票数 0
回答已采纳
1
回答
在不使用存储的情况下,将数据保留在页面重新加载的角度上?
angular
我有一个JWT令牌,我想将它保存在角应用程序中,但是在会话存储或本地存储中存储它有一些问题,因为它不会在同一个浏览器/选项卡上自动删除。那么,我是否可以保存令牌并使用它,而不必担心页面重新加载和丢失数据?
浏览 5
提问于2022-03-29
得票数 -1
1
回答
JWT和身份验证安全/模式
javascript
、
reactjs
、
security
、
authentication
、
jwt
我在javacript中使用JWT令牌构建一个身份验证和授权系统,基本上在登录时,我存储在httponly cookie中: JWT令牌用户信息(id、用户名、电子邮件)JWT过期(从生成时起5分钟) 当JWT仍然有效时,受保护的页面将对用户有效性进行远程检查(我请求一个作为授权持有者传递userId和auth令牌的API ),远程检查可能需要一些时间(不到1秒),但是每个受保护的页面在检查时都会显示一个加载旋转器;我想知道如果用户登录了它,JWT仍然有效(或者刷新令牌获得一个新的JWT),并且存在带有用户数据的cookie。不涉及外部请求,除非需要刷新JWT
浏览 3
提问于2022-03-06
得票数 0
回答已采纳
1
回答
基于JWT的web应用和原生android应用的身份验证
android
、
rest
、
cookies
、
jwt
、
jwt-auth
我有一个后端服务器为REST实现基于JWT的身份验证。虽然前端webapp是在angular js中开发的,我计划将JWT存储在HTTPOnly cookie中(具有CSRF保护)。原生android应用程序也可以访问这些REST API。然而,看起来原生android应用程序不能设置cookie。我希望避免将JWT存储在浏览器本地存储中。 有没有一种通用且安全的方式来为REST API实现基于JWT的身份验证,该API既适用于web应用程序,也适用于原生android移动应用程序? 之前我考虑过使用用户代理来区分webapp和mobile app,并实现了两种不同的身份验证机制。
浏览 0
提问于2019-07-02
得票数 0
1
回答
Flask-JWT-通过双重提交cookie方法扩展set cookie,防止仅HTTP-only cookie
nginx
、
cookies
、
httponly
、
flask-jwt-extended
我在Flask后端和React前端使用Flask-JWT-Extended和double submit cookie方法。所以当用户从前端登录时,后台会设置总共4种不同的csrf_access_token,csrf_refresh_token,access_token_cookie,refresh_token_cookie。在这4个cookie中,access_token_cookie和refresh_token_cookie应该是HTTPonly cookie,因此JS无法访问,而csrf_access_token和csrf_refresh_token是non-HTTPonly cooki
浏览 53
提问于2021-04-03
得票数 0
回答已采纳
1
回答
如何使用Cordova保护SPA和移动应用程序的REST API
angularjs
、
cordova
、
rest
、
cookies
、
jwt
我围绕这一点做了很多关于“最佳实践”的研究,并阅读了一篇又一篇的博客文章,所以一个又一个的问题,以及OWASP文章一篇又一篇。我已经得到了一些明确的答案,但也有一些未知之处。 首先,"Do's": 使用JWT在HTTPOnly/ Store cookie中为我的REST API上的用户授权 JWT,并内置CSRF保护。)Verify the JWT 的HTML5 (实际上,这一点是有争议的,哪一个更容易保护 现在我开始假设有一个SPA (用Angular构建)并使用HTML5 sessionStorage对于短暂的令牌来说是足够安全的,但有一点需要指出的是,XS
浏览 33
提问于2015-10-01
得票数 19
4
回答
Oauth2隐式格兰特流和第三方cookie中的刷新令牌
oauth
、
oauth-2.0
、
architecture
、
jwt
、
cloudfoundry-uaa
当主流浏览器默认禁用第三方cookie时,我想知道如何处理2019年Oauth2隐式授权流中的刷新令牌。 一些细节: 当前设置: ui.example.com下的UI SPA应用程序 身份提供者(UAA由CloudFoundry提供)在uaa.api.example.com下 设想情况: 当用户登录时,身份提供者将为域uaa.api.example.com设置带有用户详细信息的cookie,并在重定向的Location头中返回JWT。 JWT存储在本地存储器中(对于ui.example.com),但是它只有效1小时,所以我想刷新它。 通过将prompt=none查询
浏览 0
提问于2019-02-21
得票数 8
回答已采纳
1
回答
angularjs -构建一个登录/启动板,重定向到新应用程序,但维护令牌信息。
javascript
、
angularjs
到目前为止,我已经在localhost/app1上设置了main.html页面,并设置了app.js。在main.html中,我有一个指向localhost/app2的a标记。app.js包含生成的JWT令牌(例如:包含登录或用户信息)。问题是,如何在app2 angularjs应用程序上访问JWT令牌。使用cookie来存储令牌?不喜欢使用带有JWT令牌样式身份验证的cookie,也不喜欢将app2嵌套在app1中,也不喜欢在app1中动态加载它(例如,制作app3 )。 现在,我用$window.sessionStorage保存令牌,然后从app2引用app.js (调用模块),但这是正确
浏览 0
提问于2014-03-06
得票数 0
回答已采纳
2
回答
应该使用本地存储来持久化并重新加载redux状态和跨浏览器重新启动的JWT吗?
javascript
、
reactjs
、
redux
、
oauth-2.0
、
jwt
如果有redux,是否有关于何时使用本地存储或不存储状态信息的规则? 例如,如果我有一些在线表单,那么 Q1.是否应该将其状态(当前已填充的值)持久化到本地存储,例如当用户关闭选项卡或浏览器时,以便在用户重新访问网页时可以从本地存储重新加载状态?对于在本地存储中存储redux状态,是否有任何熟悉的/文档化的安全考虑因素? 当用户在打开浏览器后第一次访问网站时,Q2.还是应该始终从服务器发送上次保存的redux状态(而不是从本地存储中保存和加载)。如果是这样的话 Q3.如果Q2的答案是肯定的,那么JWT呢?我们是否应该将JWT存储在本地存储中,避免强迫用户重新登录?
浏览 6
提问于2022-06-01
得票数 2
回答已采纳
1
回答
为什么要将JWT令牌存储在cookie中?
reactjs
、
authentication
、
security
、
jwt
、
express-jwt
为什么我要将JWT令牌存储在cookie中? 我理解这种方法可以防止跨站点脚本(XSS)攻击,而且它比本地存储更安全。但是,如果用户可以简单地在dev工具中查看JWT并查看令牌,这是一个真正的问题吗?
浏览 5
提问于2022-11-11
得票数 0
回答已采纳
1
回答
为什么在身份验证期间使用JWT刷新令牌来防止CSRF?
security
、
authentication
、
cookies
、
jwt
、
csrf
我读过几篇关于JWT刷新令牌以及如何/为什么使用它们的文章。我在这里看到的一件事是:和 使用刷新令牌可以减少CSRF攻击。第一条规定: 刷新令牌由auth服务器作为HttpOnly cookie发送给客户端,并由浏览器在/refresh_token API调用中自动发送。因为客户端Javascript不能读取或窃取HttpOnly cookie,这比将其作为普通cookie或本地存储保存XSS要好一些。这种方法在CSRF攻击中也是安全的,因为即使表单提交攻击可以进行/refresh_token API调用,攻击者也无法获得返回的新JWT令牌值。 第二篇文章说的是类似的东西: 虽然提交给/re
浏览 4
提问于2021-01-24
得票数 6
1
回答
将CSRF令牌作为JWT内部声明的JWT cookie
xss
、
cookies
、
csrf
、
jwt
、
local-storage
我试图找出我建议的解决方案是否对XSS和CSRF保护都有效, 我希望将JWT存储在httpOnly & secure cookie中,而不是在本地存储中,当用户成功登录时,他将在响应有效负载中获得一个CSRF令牌(随机字符串),与声明到JWT有效负载的令牌相同,用户端令牌将存储在localStorage中。 当用户调用经过身份验证的rest端点时,他将CSRF令牌附加为报头(“csrf- token”:"randomToken“报头),因为我们处于无状态状态,所有请求都将首先验证JWT签名,在验证之后,代码将检查JWT有效负载中的令牌是否等于请求头中的令牌。 由于我没有找到任何
浏览 0
提问于2021-12-24
得票数 1
回答已采纳
2
回答
在本例中,JWT令牌存储在哪里?
node.js
、
jwt
、
storage
、
jwt-auth
、
express-jwt
我是一个初学者,最近开始学习授权和身份验证。 因此,我遇到了JWT,并开始寻找如何在节点js中实现它的教程。显然,nodejs有一个名为"jsonwebtoken“的jwt中间件。 我看了一些关于它的视频,并了解到您可以通过访问header:(req.headers) 来访问创建的令牌 现在,我要处理的问题是,是"header“,是,是存储的。它是一个html头还是一个特殊的cookie。我知道有3个存储库(本地存储、会话存储和cookie存储),但在这3个存储中存储的是什么。 我真的很困惑
浏览 0
提问于2020-08-01
得票数 2
回答已采纳
2
回答
如何刷新整个react应用程序并保存缓存
node.js
、
reactjs
、
express
、
redux
、
react-hooks
我使用nodejs和express作为服务器创建了mern堆栈react应用程序。我希望从服务器接收带有jwt令牌的cookie,然后完全刷新整个页面并保存cookie。我试图使用window.location.reload(false)和useHistory.get(0)刷新页面,但它们都不断刷新页面,直到删除令牌,然后停止刷新。我还试图在window.stop(False)之后立即编写window.location.reload(),但是它根本没有刷新窗口。我怎么只刷新整个窗口一次? 值得一提的是,我没有那么多的反应经验,所以我非常感谢你的帮助。谢谢。
浏览 15
提问于2022-10-27
得票数 0
回答已采纳
1
回答
如何在应用程序或浏览器中存储JWT和Refresh令牌?
android
、
jwt
、
refresh-token
我构建了一个Rest,它通过使用JWT和刷新令牌来处理请求。但我不知道如何在客户端存储它。 我是否应该将两者都存储在带有httponly标志的cookie中呢? 我应该同时存储在cookie中还是存储在本地存储中,例如共享首选项(Android)? 我非常关心在客户端处理这些令牌的最佳实践是什么?
浏览 6
提问于2020-07-15
得票数 2
回答已采纳
2
回答
如何在页面加载前处理令牌?
node.js
、
angular
、
jwt
我使用JWT进行身份验证(没有登录页面)。我有一些问题,当站点加载时,首先是get方法,用于加载内容,然后是身份验证方法,并将令牌保存在本地存储中。 问题是我得到的错误,我没有通过身份验证,并在我刷新页面后,它的工作。我需要让他首先创建身份验证方法,并将其保存到本地存储中,然后加载页面。 Auth.service: import { Injectable } from '@angular/core'; import { HttpService } from '../http/http.service'; import * as jwt_decode from &
浏览 0
提问于2019-11-10
得票数 1
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
一步步带你了解前后端分离利器之JWT
「JWT」,你必须了解的认证登录方案
八幅漫画理解使用 JSON Web Token 设计单点登录系统
基于 Token的WEB 后台认证机制
说一说常用的登录认证方式
热门
标签
更多标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
活动推荐
运营活动
广告
关闭
领券