Quarkus验证来自多个来源的JWTs
Quarkus是一种开源的Java框架,用于构建云原生应用程序。它提供了一种快速、轻量级的方式来开发和部署Java应用程序,并且在云计算领域具有广泛的应用。
JWT(JSON Web Token)是一种用于在网络应用之间传递声明的开放标准(RFC 7519)。它可以通过数字签名来验证和信任,因此非常适合在多个来源之间验证身份和授权。
Quarkus提供了一种验证来自多个来源的JWTs的机制。它通过使用MicroProfile JWT扩展来实现这一功能。MicroProfile JWT是一种用于在微服务架构中验证和处理JWT的规范。
验证来自多个来源的JWTs的过程如下:
- 配置JWT验证:在Quarkus应用程序的配置文件中,您需要配置JWT验证的相关参数,例如密钥、签名算法等。
- 解析JWT:当收到一个包含JWT的请求时,Quarkus会自动解析JWT,并提取其中的声明信息。
- 验证JWT:Quarkus会使用配置的密钥和签名算法来验证JWT的签名是否有效。如果签名验证通过,Quarkus会继续处理请求。
- 访问声明信息:在验证通过后,您可以在Quarkus应用程序中访问JWT中的声明信息。这些声明信息可以用于身份验证、授权等操作。
Quarkus提供了一些相关的扩展和工具,以便更方便地验证和处理JWTs。以下是一些推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云API网关:腾讯云API网关可以帮助您管理和保护API,包括JWT验证和授权功能。了解更多信息,请访问:腾讯云API网关
- 腾讯云密钥管理系统(KMS):腾讯云KMS可以帮助您管理和保护密钥,用于JWT的签名和验证。了解更多信息,请访问:腾讯云密钥管理系统
- 腾讯云容器服务(TKE):腾讯云TKE提供了一种快速、安全的方式来部署和管理容器化应用程序,包括Quarkus应用程序。了解更多信息,请访问:腾讯云容器服务
请注意,以上推荐的腾讯云产品仅供参考,您可以根据实际需求选择适合的产品和服务。
相关·内容
3回答
API密钥与JWT -使用哪种身份验证和何时使用?
api、jwt
我读过关于API键和JWT的多个页面/博客文章,但我仍然很困惑何时使用其中之一。最近有人说,JWT已成为API身份验证的标准,但在下面所述的几种情况下,JWT对我来说变得令人困惑。
JWT“not”的选择适用于任何需要对用户进行身份验证的UI应用程序,以及任何需要在API上授权的API调用,而不仅仅是身份验证。
然后,语音出现了API,它只需要身份验证,不需要识别单个用户。在这种情况下,JWT看起来是过火了。
另一方面,当API (直接调用,没有UI)使用JWT而不是“静态”并且需要为它生成刷新令牌时,它是什么样子的呢?一般来说,API应该如何处理它?每一次请求都应该这样做吗?
浏览 0提问于2020-12-01得票数 10
回答已采纳
1回答
API AuthN/AuthZ和API网关
api、authentication、authorization
我已经使用NGINX+在API级别实现了身份验证,现在我担心它背后的API是否仍然需要使用APIs或JWT进行身份验证?什么是最佳做法?
我的观点是,有人可能有意或无意地进入内部网络,然后使用那些大范围开放的API(不进行身份验证)。但是,另一方面,我有一个问题:在API网关级别上进行身份验证的目的是什么?
浏览 0提问于2020-12-01得票数 2
回答已采纳
2回答
API平台授权与身份验证
symfony、authentication、jwt、authorization、api-platform.com
我正在使用开发一个应用程序接口,我正在为如何保护这个应用程序接口而苦苦挣扎。
我的前端应用程序(博客站点)具有不需要用户登录即可查看的内容(公共内容)。要从API获取此内容,我不需要对用户进行身份验证,但我仍然需要授权应用程序,以防止每个人都能够调用API。以下是一些路由示例:
GET /api/blogs
GET /api/blogs/{id}
用户仍然可以登录以访问站点的其他部分(安全内容)。对于这些API调用,我需要对用户进行身份验证以检查其角色(管理员或其他人)。以下是一些路由示例:
POST /api/users
POST /api/blogs
建议使用JWT进行身份验证,但这意味着
浏览 0提问于2019-08-17得票数 1
2回答
测试--如何从一个服务获得jwt令牌并使用它另一个服务
java、spring-boot、junit、jwt、spring-cloud
在从一个服务获取jwt令牌并在一个服务的测试方法中使用它时,我遇到了问题。
在我的春季启动微服务示例中,我尝试在支付、产品和订单服务中编写JUnit Controller测试。在定义了创建用户和使用jwt令牌登录的auth服务之后,定义了使用JWTFilter的网关之后,需要为每个测试请求方法的每个请求定义承载令牌。
通常情况下,它可以工作,但我必须获得jwt令牌并使用它,但我不知道如何获得它?
下面是PaymentControllerTest的一种测试方法。如您所见,没有授权的定义,也没有更多的。我该怎么定义它呢?
@Test
@DisplayName("Place Orde
浏览 9提问于2022-11-15得票数 0
1回答
如何使用jwt的.crt?
spring-security、oauth-2.0、jwt、jks
我在我的项目中有oauth2 + jwt授权。
@Component
@RequiredArgsConstructor
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.cors()
.and()
.csrf().disable()
.sessi
浏览 16提问于2021-05-19得票数 1
回答已采纳
2回答
无法访问密钥披风保护的资源。
java、openshift、keycloak、quarkus
目前,我有一个部署在openshift上的keycloak服务器和一个夸克rest服务应用程序,它有一个安全的资源,可以使用承载令牌访问。我读过夸夸斯安全相关文档,但无法访问安全资源。所有的人都有401的状态。
这些是我在项目的pom.xml中使用的库:
<dependency>
<groupId>io.quarkus</groupId>
<artifactId>quarkus-resteasy</artifactId>
<version>1.13.6.Final</version>
&
浏览 5提问于2021-06-09得票数 0
1回答
API网关应该负责授权吗?
authentication、architecture、authorization、microservices、api-gateway
目前,我有一个带有Java/Spring的monolith应用程序,其端点如下:
/login
/logout
/some-resource
要访问some-resource,流程如下:
用户向POST端点发出/login请求。如果凭据正确,则在标头中返回JWT令牌,否则返回401。
用户将JWT令牌连同请求一起发送到/some-resource。如果令牌有效,则返回资源,否则为403。
现在,我想将monolith分成两个服务:"AuthServer“和"SomeResourceServer”。顶部将有一个API网关。我正在考虑两种可能的处
浏览 1提问于2018-06-05得票数 12
回答已采纳
1回答
将无服务器api添加到AWS api网关作为资源服务器
amazon-cognito、serverless-framework、serverless
你好,我正在使用使用aws api网关的无服务器api,lambda代理,golang和aws认知
events:
- http:
path: myendpoint
method: get
cors: true
authorizer:
name: my-authorizer
arn: {COGNITO_POOL_ARN}
plugins:
- serverless-domain-manager
custom:
customDomain:
浏览 3提问于2020-10-15得票数 1
回答已采纳
3回答
API网关如何通过内省验证访问令牌
api、security、authentication、jwt、microservices
我找到了一篇有趣的文章,其中有这样的插图:
它说:
API网关通过内省验证所有传入请求的访问令牌
但这意味着什么呢?
它说网关转到授权服务器并验证令牌(JWT)。为什么要这么做?
如果网关拥有授权服务器的公钥,它可以像每个后端服务一样使用签名检查令牌的有效性,为什么需要自省,它是如何完成的?
浏览 4提问于2020-02-11得票数 2
回答已采纳
3回答
利用JWT实现Asp.net网络应用程序接口的身份认证
asp.net-web-api、authentication、jwt
我一直在读有关JWT的文章。
但据我所知,它不是一种身份验证机制,而更像是身份验证机制中的一个关键组件。
我目前已经实现了一个有效的解决方案,但它只是尝试JWT,看看它是如何工作的。但我现在追求的是一个人应该如何利用它。根据我的经验,它基本上只是一种加密机制,给你一个唯一的加密密钥。您还可以将信息放入此令牌中。
我想在移动应用程序使用的ASP.NET web API2上实现它。
因此,第1步:
应用程序=>服务器:登录(用户,JWT =>应用程序:登录OK,这是您的JWT 应用程序=>服务器:获取我的配置文件(发送JWT请求)服务器,然后解密JWT并确定请求身份。
这只是我的
浏览 39提问于2014-05-15得票数 56
回答已采纳
1回答
用于远程auth服务器的快速网关- JWT验证策略checkCredentialExistence
jwt-auth、express-gateway
我使用速成网关作为API网关中间件,有以下设置。
Express网关仅用作网关,服务器位于不同的位置,并将所有登录请求路由到auth服务器以获得jwt,多资源服务器位于快速网关的后面。它不会授权或验证任何请求。所有传入请求都被视为已通过身份验证的。
我已经设置了EG配置,这样它就可以验证JWT,并且只通过正确的JWT传递请求。因为网关本身的授权checkCredentialExistence。
问题
当用户发送注销请求时,我将撤销来自auth服务器的访问和刷新令牌。但是,被撤销的JWT令牌仍然是一个有效的令牌。网关继续使用已撤销的jwt传递传入请求。
如果JWT在Express网关中仍然有效,
浏览 6提问于2020-02-24得票数 0
回答已采纳
1回答
Amazon KMS -一般与JWT签署的概念
cryptography、digital-signature、jwt、aws、amazon
查看Amazon KMS (密钥管理系统)。
由于通过Amazon公开的方法只用于加密和解密(https://docs.aws.amazon.com/kms/latest/APIReference/Welcome.html),所以感到困惑。但是,我想签署数据(特别是JWT)。
我的问题:
1)签名仅仅是对内容的哈希进行加密吗?
2)在JWT的情况下,如果我对JWT的内容进行散列,并将其加密并放入签名字段,它是否是正确的签名?
谢谢,
浏览 0提问于2018-06-27得票数 3
回答已采纳
1回答
JWT的嵌套身份验证和授权同时使用机器到机器身份验证和基于用户的身份验证是一件事吗?
security、oauth-2.0、jwt、api-gateway
像我五岁那样解释给我听。 典型的做法是同时使用机器到机器身份验证和基于用户的身份验证吗?含义:如果我有一个接受用户请求的网关或代理,并且它在处理或转发请求到应用程序服务器之前验证用户请求进入的JWT,那么使用机器对机器的JWT来确保到达应用程序服务器的请求来自网关是正常的,还是误用?此外,在向应用服务器发出请求时,将用户的JWT包装或嵌套在机器到机器的JWT中是正常的还是误用的? 更典型的做法是让网关验证JWT签名和声明,然后根据需要将其转发到各种应用服务器吗? 在这种时尚中嵌套JWTs的愿望是不是有点夸张,或者是“你拿错了”的误用/案例?
浏览 22提问于2021-08-11得票数 0
回答已采纳
1回答
密钥披风作为IdP的资源服务器实现
keycloak
是否有一种方法仅用于验证用户的身份,而使用自己的映射到Spring的角色?
我想先在keycloak中验证API网关,然后在我的微服务世界中提供具有授权角色的内部JWT令牌。
浏览 7提问于2022-10-17得票数 0
4回答
如何在微服务体系结构中实现基于角色的安全
spring-boot、spring-security、microservices、spring-cloud、netflix-zuul
我有一个spring-boot应用程序,它有4个微服务、eureka服务器和一个集中的API网关。
所有外部流量都通过我的API网关到达我的微服务。
我的API网关(Zuul)正在验证和验证JWT token。
JWT令牌是在用户登录后由我的一个微服务(users微服务)生成的,该令牌包含用户Id及其角色/权限。
现在,我想在微服务而不是网关中的方法上实现基于角色的安全性。
我尝试过使用@PreAuthorize,但它不能在网关之外工作(显然,为了让它工作,我必须在我的微服务的SecurityContextHolder中设置一个Spring Security身份验证对象,并用权限填充它)。
那
浏览 3提问于2020-01-17得票数 7
1回答
生成JWT令牌的Spring网关
spring-security、jwt、spring-cloud-gateway
我在尝试用弹簧云建造一个网关。如果一个JWT存在,它应该执行一些逻辑操作,并且它不存在,它应该创建它(从头开始)。我有一些来自互联网的例子,他们都在使用oauth2,我不想要它。有没有人从网上的一个例子中知道我说的是什么。我对spring云网关和spring安全性都很熟悉
我已经尝试过示例,但我对所有的oauth部分都感到困惑。
浏览 2提问于2019-11-08得票数 1
1回答
如何向除api网关之外的所有人隐藏我的公共微服务?
java、containers、microservices、api-gateway、google-cloud-run
我已经在google云运行上部署了容器服务。该应用程序由几个微服务和一个api网关组成。由于google提供公共端点,我所有的微服务都是公共的。我只想让api网关公开,其余的服务只能通过网关作为反向代理访问。我怎样才能把微型服务隐藏在公众视线之外?除了api网关之外,来自任何地方的请求都应该被拒绝。
浏览 1提问于2020-07-15得票数 0
回答已采纳
1回答
Quarkus验证来自多个来源的JWTs
java、jwt、quarkus、jwk、smallrye
有没有办法允许来自多个来源的JWTs? 我有一个REST API,我只允许通过持有者令牌身份验证进行访问,而且我真的只需要验证这些令牌,所以我真的不需要OIDC带来的所有附加功能。 假设我将Keycloak设置为身份提供者。我会相应地配置quarkous-oidc。但是现在我还想允许我在另一个服务中创建的JWT,用于服务到服务的通信。这不是身份提供者,而是我只是使用smallrye-jwt来创建一些“内部”令牌。 因此,实际上我似乎更喜欢使用quarkus-smallrye-jwt,但是我不能为多个租户配置它。 我认为将密钥整合到JWKS中并将其提供给quarkus-smallrye-jwt
浏览 45提问于2021-08-25得票数 5
回答已采纳
2回答
Firebase自定义登录JWT状态
firebase、jwt
我们计划在应用程序中使用Firebase自定义登录。创建JWTs有很好的文档,而且非常清楚。但是,不清楚的是JWT的状态,这个令牌还有效吗?用户是否登录到Firebase?等。
有没有办法使用创建JWT的同一服务器来查找JWT的状态?
任何事都有帮助,谢谢!
我正在使用以下内容来创建我的令牌。
function generateFirebaseLoginToken(userData){
var tokenData = {
'uid': userData.id,
'id': userData.id,
'
浏览 4提问于2015-04-08得票数 0
1回答
使用保护Google运行的内部API的最佳方法
authentication、google-cloud-platform、google-cloud-endpoints、google-cloud-run
场景
我在Cloud (grpc )中托管一个API,但对于我希望保护的http,这个问题也同样存在。目标是提供对我们组织中多个应用程序的访问。注意,每个应用程序都有多个实例运行在另一个位置(每个外部客户端都有一个实例)。该API仅供内部使用,不会受到web浏览器的直接攻击。
选项
我确定了以下选项:
不使用云终结点:我只需要一个服务帐户来保护我的API。不记名令牌(id令牌)可以在应用程序中自动生成。
云端点+ API键:对于每个应用程序,我都生成一个API,该键被该应用程序的所有实例使用。这非常容易设置,因为它只需要发送一个额外的头。
Cloud +自签名jwt:我使用一个服务
浏览 2提问于2020-09-05得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
