Rails:使用knock使用JWT令牌进行身份验证
Rails是一种基于Ruby语言的开发框架,它提供了一套简单而强大的工具和约定,用于快速构建Web应用程序。在Rails中,使用knock gem可以方便地实现JWT令牌进行身份验证。
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它由三部分组成:头部、载荷和签名。头部包含了令牌的类型和使用的加密算法,载荷包含了一些声明信息,如用户ID、角色等,签名用于验证令牌的完整性。
使用knock gem可以轻松地在Rails应用中实现JWT身份验证。它提供了一些简单的方法和中间件,用于生成和验证JWT令牌。以下是使用knock进行身份验证的一般步骤:
- 添加knock gem到Gemfile并运行bundle安装:
- 添加knock gem到Gemfile并运行bundle安装:
- 生成一个控制器用于处理身份验证请求:
- 生成一个控制器用于处理身份验证请求:
- 这将生成一个名为
user_token_controller.rb的控制器,用于处理用户身份验证请求。 - 在生成的控制器中配置用户模型和身份验证方法:
- 在生成的控制器中配置用户模型和身份验证方法:
- 在上述代码中,我们配置了用户模型和身份验证方法。
authenticate_user方法用于验证用户的身份,auth_params方法用于获取身份验证请求中的参数。 - 在路由文件中添加身份验证路由:
- 在路由文件中添加身份验证路由:
- 这将创建一个用于生成JWT令牌的路由。
- 在应用中使用身份验证:
- 在应用中使用身份验证:
- 在上述代码中,我们使用
before_action过滤器来确保只有通过身份验证的用户才能访问index方法。
通过使用knock gem和JWT令牌,我们可以轻松地在Rails应用中实现身份验证。这种身份验证方法具有以下优势:
- 简单易用:knock gem提供了简单的方法和中间件,使得实现JWT身份验证变得简单而直观。
- 安全性:JWT令牌使用签名进行验证,确保令牌的完整性和真实性。
- 无状态:JWT令牌是无状态的,服务器不需要存储会话信息,减轻了服务器的负担。
- 可扩展性:JWT令牌可以包含自定义的声明信息,可以根据需求进行扩展。
Rails中使用knock和JWT令牌进行身份验证的应用场景包括但不限于:
- 用户身份验证:通过JWT令牌验证用户的身份,确保只有合法用户可以访问受限资源。
- API身份验证:为API提供身份验证机制,确保只有授权的客户端可以访问API接口。
- 单点登录(SSO):使用JWT令牌实现单点登录,用户只需登录一次即可访问多个应用。
腾讯云提供了一系列与Rails开发相关的产品和服务,可以帮助开发者构建稳定、安全的云计算环境。以下是一些推荐的腾讯云产品和产品介绍链接地址:
- 云服务器(CVM):提供可扩展的虚拟服务器,用于部署Rails应用程序。产品介绍
- 云数据库MySQL版(CMYSQL):提供高性能、可扩展的MySQL数据库服务,适用于存储Rails应用程序的数据。产品介绍
- 云对象存储(COS):提供安全、可靠的对象存储服务,用于存储Rails应用程序的静态文件和媒体资源。产品介绍
- 云安全中心(SSC):提供全面的安全监控和防护服务,保护Rails应用程序免受网络攻击。产品介绍
通过使用腾讯云的产品和服务,开发者可以构建高效、安全的Rails应用程序,并享受腾讯云提供的稳定可靠的云计算基础设施。
相关·内容
2回答
使用JWT教程,我已经能够使用敲门来设置我的Rails API,但是当我提供时,身份验证似乎不起作用。
这是我的Knock.rb
Knock.setup do |config|
config.token_audience = -> { Rails.application.secrets.auth0_client_id }
config.token_secret_signature_key = -> { Rails.application.secrets.auth0_client_secret }
end
User.rb:
class User < Applicat
浏览 1提问于2017-10-27得票数 3
1回答
这个问题可能有点微不足道,但我是rails新手。我使用JWT使用对api用户进行身份验证,我的routes.rb如下所示:
Rails.application.routes.draw do
resources :news_articles
mount Knock::Engine => "/sessions"
end
根据敲门文档,它创建了一个路由'POST /sessions/auth_token',我如何通过rails conf将'POST /sessions/auth_token‘别名为'POST /sessions’?
浏览 0提问于2016-03-26得票数 0
有很多文章和资源是关于通过Rails5API认证和访问用户信息的不同选项的,比如敲门,Doorkeeper,JWT等,但我很难找到一个关于如何处理新用户的实际注册和相关功能(即密码请求)的可靠建议。
我可以使用Devise,但我想知道它是否过度杀伤力。事实上,许多关于JWT的文章,以及像Knock这样的gems,都建议不要使用它。
在构建Rails 5 API纯应用程序时,有没有不同的推荐解决方案来处理新用户注册,或者Devise仍然是最好的方法,即使有所有其他开销?Rails 5有内置的功能吗?
浏览 0提问于2016-10-21得票数 5
我有一个只有Rails 5 API的应用程序,并且使用爆震来进行JWT认证。
在完成模型和模型规范之后,我开始执行请求规范。
但我不知道如何以正确的方式完成请求规范中的身份验证,
我的用户控制器,
module V1
class UsersController < ApplicationController
before_action :authenticate_user, except: [:create]
end
end
应用程序控制器,
class ApplicationController < ActionController::API
include
浏览 1提问于2017-02-19得票数 15
回答已采纳
我目前正在通过这个链接使用Rails API的JWT身份验证:和我仔细地遵循了她的说明。但是,我仍然无法使用刚刚注册的用户名和密码登录。我可以毫无错误地注册,并向我显示以下消息:
Started POST "/users" for ::1 at 2016-12-20 22:28:32 -0500
Processing by UsersController#create as HTML
Parameters: {"user"=>{"email"=>"xxx@gmail.com", "password"
浏览 7提问于2016-12-21得票数 1
我有一个连接到rails API的react前端,使用敲门和JWT对用户进行身份验证。我在post请求中发送电子邮件和密码,然后将令牌(来自响应数据)保存在localStorage中,以便将其传递给其他函数。
在表单中提交日志时,rails控制台显示状态201,但来自post请求的响应为空(不是错误)
下面是post请求:
login () {
const $ = window.$;
const email = $("#email").val()
const password = $("#password").val()
const re
浏览 0提问于2018-08-04得票数 0
回答已采纳
我有一个使用Vue.js的Rails应用程序,用于一些前端组件。我使用Devise进行身份验证,但是由于我的一些Vue组件向我的后端发出JSON请求,我应该使用类似JWT身份验证的东西吗?我搞不懂什么时候设备就足够了,什么时候需要某种类型的JSON web令牌身份验证。
浏览 10提问于2019-09-06得票数 0
2回答
JWT如何注销
、、
Ruby 2.2.4
Rails 4.1.8
设计3.4.1
大家好,我遵循一个教程(),它覆盖通过JSON进行远程身份验证时传递JWT的设计。不过,我想改进这个应用程序的注销功能。但我该怎么做呢?实际上,使用本教程中的代码,一旦我成功地通过了身份验证,我就不能再次注册或注册:
You are already signed in.
Welcome#index
Find me in app/views/welcome/index.html.erb
问题是,我该怎么做?如何实现,使用户可以注销或再次注册?
下面是代码的一部分:registrations_c
浏览 3提问于2016-09-06得票数 2
复制步骤:
安装的Gemfile如下:
source 'https://rubygems.org'
git_source(:github) { |repo| "https://github.com/#{repo}.git" }
ruby '2.3.1'
# Bundle edge Rails instead: gem 'rails', github: 'rails/rails'
gem 'rails', '~> 5.2.0'
# Use sqlite3 as the dat
浏览 0提问于2018-04-23得票数 1
回答已采纳
4回答
我不明白JWT令牌的用法。
有人能给我解释一下吗?
因为目前我正在开发一个应用程序(rails + react),我想使用devise + jwt来进行身份验证,并对前端进行响应。
事实上,我了解到:
1/如果用户想登录:他完成表单,响应从表单获取数据,并向Rails API发出这些信息的post请求。
2/ Rails API在db中签入这些信息,如果信息与注册用户匹配,那么Rails API将创建一个JWT令牌并发送此令牌以作出反应。
用户现在登录,因为Rails API找到了匹配的用户。
3/ React接收JWT令牌。(?)这个令牌的用途是什么?)
谢谢
浏览 2提问于2019-09-13得票数 2
回答已采纳
我正在尝试使用我现有的auth系统来保护/sidekiq路由。我在Rails-api中使用JWT。我能够读取JWT令牌来检查用户是否具有管理角色,但它只适用于初始请求。Sidekiq面板中的后续请求检索CSS和JS,但是它们失败了,因为令牌没有传递给它们。
我的routes.rb中有以下路径
mount Sidekiq::Web => '/sidekiq', constraints: AdminConstraint.new
然后是lib/admin_constraint.rb
class AdminConstraint
def matches?(request)
浏览 0提问于2017-12-12得票数 3
回答已采纳
1回答
我有一个Rails,带有用于JWT身份验证的敲门。
用户模型如下所示:
class User < ApplicationRecord
attr_accessor :email, :password, :password_digest
has_secure_password
end
和迁移
class CreateUsers < ActiveRecord::Migration[5.1]
def change
create_table :users do |t|
t.string :email
t.string
浏览 3提问于2017-06-29得票数 0
回答已采纳
我有一个rails web,它从一开始就使用cookie会话身份验证(devise)。现在,我们正在开发一个使用rails应用程序提供的API的离子移动应用程序。
我已经考虑过在这个新应用程序中使用JWT或令牌身份验证,但是我无法找到将身份验证方法cookie和JWT结合起来的方法。另外,这两个应用程序都有不同的要求。例如,在web中,用户只有在具有特定角色的情况下才能进行并发会话。相反,在移动应用程序中,可以不受任何限制地拥有并发会话。
我读了很多书,试图弄清楚如何将这两种方法结合起来,但我找不到方法。也许我应该考虑只使用其中一种方法(JWT)或使用另一种方法(看门人)。
浏览 3提问于2016-07-17得票数 5
回答已采纳
我正在尝试为我的应用程序构建一个身份验证解决方案。我使用React作为前端,使用API模式的Rails作为后端。我有一个外部身份验证解决方案,我需要使用它。我偶然发现了JWT令牌管理的敲门,但我不理解文档,特别是这部分“它必须有一个身份验证方法,类似于has_secure_password添加的方法”,因为由于我的外部身份验证服务,我没有用户模型。因此,在我的头脑中,登录请求将转到我的LoginController,它将管理外部身份验证,并在成功身份验证后,以某种方式创建一个JWT令牌,并将其返回给前端。你知道我是怎么做到的吗?
浏览 20提问于2019-11-29得票数 0
2回答
我最近开始保护我的web应用程序,我使用了Spring身份验证来保护我的REST Framework.So endpoints.And,我还创建了一个不同的示例演示,其中我提供了使用Security的简单登录和注销功能。
现在,我试图在登录/注销functionality.But中使用JWT身份验证,我觉得这是错误的,我认为JWT应该只用于保护REST服务的端点,而不是登录/注销功能,这是一种有状态的活动,而JWT身份验证不是最好的方法。
这是我的误解吗? JWT也可以用于登录/注销吗?对它的任何输入都会非常感谢。
浏览 0提问于2018-12-07得票数 0
回答已采纳
我正在REST中实现一个基于JWT的身份验证系统,并希望在令牌中使用JWT_ID声明。根据,JWT允许只使用一次令牌:
jti (JWT ID):唯一标识符;可用于防止JWT被重放(允许只使用一次令牌)
我想知道JWT应该多久重新生成一次?
应每一项要求
只限登入
关于令牌刷新(如果使用刷新令牌系统)
注意:,我不使用Auth0进行身份验证。
浏览 2提问于2019-05-09得票数 1
回答已采纳
我一直在阅读,因为它在OAuth中使用JWT (JSON令牌)。
在和中,它指出JWT可以用作授权赠款或客户端身份验证。
根据我的理解,身份验证是识别某个东西(这个用户是他声称的那个人),授权是检查一个用户是否被允许做他所要求的事情。
JWT作为授权授予是有意义的,因为请求是通过签名而隐式标识的。大多数支持此方法的API使用JWT作为授权授予。见和。
这让我很困惑。为什么需要JWT身份验证作为一个单独的东西?在什么情况下/用例下需要JWT身份验证?
浏览 2提问于2013-01-12得票数 5
2回答
我正在学习ASP.NET核心中JWT令牌的用途,但我一件事也不明白。为什么每个博客都调用JWT身份验证?如果我们将令牌传递给经过身份验证(登录)的用户。我的意思是为什么JWT不是授权而是身份验证?我不明白我在这个话题中跳过了哪一点。
浏览 9提问于2022-12-03得票数 0
回答已采纳
我正在尝试使用JWT令牌身份验证获取用户详细信息。我能够使用BasicAuthentication和JsonWebToken身份验证来获得它们。我正在尝试使用JWT获取细节。
class PermissionView(APIView):
permission_classes = [IsAuthenticated]
authentication_classes = [BasicAuthentication,JSONWebTokenAuthentication]
def get(self, request,format=None):
data = {
浏览 2提问于2016-12-29得票数 1
1回答
我需要保护REST,因为我在一个简单的REST上使用了JWT身份验证。在完成JWT身份验证之后,我需要一些问题的答案,如果有人能在这里帮助我,那就太好了。以下是问题:
基于令牌的认证如何比基本的authentication?What更安全是检验令牌有效性的标准?令牌生成算法是JWT?,令牌在哪里/如何是compared/Verified??
浏览 4提问于2020-06-27得票数 0
我正在为Rails 5API使用爆震来进行JWT身份验证。
我有这个路线档案:
Rails.application.routes.draw do
namespace :api, constraints: { subdomain: 'api' }, path: '/' do
namespace :v1 do
post 'user_token' => 'user_token#create'
end
end
end
这样,我希望能够发出POST请求来创建新的令
浏览 1提问于2016-11-22得票数 0
我在Django rest框架中的项目中一直使用内置的令牌身份验证。但是现在我要转到简单的jwt上。但有一件事我很困惑。
在令牌身份验证用户中,如果从前端登录将返回一个令牌,但在jwt文档中,我看到了以下三个请求:
urlpatterns = [
url(r'^auth-jwt/', obtain_jwt_token),
url(r'^auth-jwt-refresh/', refresh_jwt_token),
url(r'^auth-jwt-verify/', verify_jwt_token),
]
我不太明白
浏览 9提问于2021-03-31得票数 0
我使用Sprint、security和JWT完成了一个示例应用程序,并定义了我的自定义身份验证和授权过滤器。在执行基本身份验证(传递用户名和密码)时,我得到了xxxx.yyyy.zzzz格式的JWT令牌,其中xxxx是头,yyyy是有效负载,zzzz是签名,每个部分都使用Base64URL编码器进行编码。我不明白的是,JWT与OAuth 2.0有何不同。在OAuth 2.0中,我们可以将2种类型的grant_types传递为“用户名”或“客户端凭据”&还需要传递客户端id、秘密id才能获得访问和刷新令牌。
请帮助澄清以下疑问:- 1) JWT比OAuth 2.0轻吗,因为它不包含刷新令
浏览 1提问于2018-11-20得票数 0
2回答
身份验证令牌应该对公众可见吗?
、、、、
我对firebase安全和一般的web开发都是新手,但我是在Rails应用的服务器端生成JWT的。但是,要将它们传递给firebase,我似乎必须使用以下Javascript代码在视图中传递令牌(存储在数据库的users表中):
var ref = new Firebase('https://mysite.firebaseio.com/');
ref.auth('<%= @user.auth_token %>');
这就是你处理身份验证令牌的方式吗?我认为这可能会偏离要点,因为用户可以从页面源中查看身份验证令牌。
浏览 2提问于2015-01-22得票数 0
我使用jsonwebtoken模块实现了jwt身份验证。但是,在生成和验证jwt令牌时,我是否需要为每个用户创建和管理任意密钥?分别为每个用户管理密钥和使用一个密钥生成和验证jwt令牌之间有区别吗?
浏览 4提问于2017-09-08得票数 4
我有一个Rails应用程序,我正在尝试连接一个API。
我已经能够ping API并发送表单数据,一切都正常。我的问题是,API要求您在请求时发送JWT身份验证令牌。因此,我发出了这个额外的身份验证请求,以获取JWT,然后将该JWT与我正在进行的其他API调用一起发送。
API建议保存初始JWT,这样我就不必为JWT发出额外的身份验证请求。他们建议将其保存一段时间,并在此之后刷新并获得新的JWT。令牌的有效期为25小时,因此他们建议在24小时后获取新的令牌,以便在检索新的JWT时不会中断任何服务。
我应该把这个令牌存储在哪里?我在想,在会话中,或者缓存它?我觉得在会话中存储它可能会有安全问题?
浏览 52提问于2018-09-11得票数 3
回答已采纳
使用https://github.com/netlify/gotrue-js与netlify的身份验证服务(称为"Identity")对接需要多频繁地执行以下操作: const user = auth.currentUser();
const jwt = user.jwt();
jwt
.then(response => console.log("This is a JWT token", response))
.catch(error => {
console.log("Error fetching JWT token&#
浏览 38提问于2020-03-26得票数 1
回答已采纳
在我的Rails5应用程序中,我正在使用敲门gem ()进行基于JWT的身份验证。生成的鉴权token会在一天后自动过期。有没有什么方法可以防止令牌自动过期或延长过期时间?
谢谢
浏览 7提问于2016-09-27得票数 1
1回答
Azure AD提供了从其AD身份验证服务器获取JWT的工具。这对于根据Web API使用ADAL和JWT库对单页应用程序进行身份验证非常有效。
但是,如果您的需求是实现一个允许使用内部令牌颁发者进行ADAL JWT身份验证的解决方案,那么如何在不更改JWT形状和身份验证机制的情况下实现这一点?
我是否需要同时重写应用程序接口和SPA上的身份验证模块以适应不同的OpenAuth框架?或者,有没有一种解决方案可以让我重用相同的代码,只需将API和SPA都指向本地令牌颁发者?
浏览 0提问于2018-10-09得票数 1
1回答
我构建了一个REST服务,使用Spring和Security进行身份验证。我对Spring和Security都很陌生。我在一个JAR文件中创建了一个身份验证模块。前端客户端向身份验证模块发送带有用户名和密码的请求。然后,身份验证模块根据DB验证用户的详细信息。如果身份验证成功,则创建一个JWT,然后将其发送回客户机。用户名和角色被编码到JWT中。然后,当从其他构建在单独JAR文件中的REST服务端点请求资源时,将使用JWT来验证用户。有几件事我不确定。
在Security中,是否为每个用户创建了一个身份验证对象,以便同时对多个用户进行身份验证,还是每次只进行一次身份验证,并且只能登录一个用户?
浏览 1提问于2017-04-22得票数 1
2回答
我们正在实现JWT,以允许客户端通过单独的身份验证服务器进行身份验证。
客户端将用户名和密码发布到身份验证服务器,接收一个JWT,然后使用JWT登录到主站点。
显然,令牌包括用户名和其他一些非机密信息。
问题是是否使用JWT传递秘密信息以及如何传递。以下是一些可以考虑的选择:
不要这样做。让主网站服务器使用经过身份验证的用户名调用后端API以获取所需的信息。
以私有声明的形式传递信息,用对称加密加密值,并在主网站和身份验证服务器之间共享密钥/密码短语。
加密整个令牌。
这里有什么最佳做法吗?这些选择的起起落落是什么?
浏览 4提问于2016-05-17得票数 2
回答已采纳
我们可以使用SOBO特性与OAuth 2.0身份验证代码授予使用REST?由于系统的限制,我们不能使用JWT身份验证,因此需要探讨是否可以不使用遗留和JWT身份验证而使用SOBO。
请使用REST通知流!
你好,VG
浏览 7提问于2021-12-29得票数 0
1回答
Web :授权或/和身份验证
、、、、
我创建了asp.net web项目。我需要添加授权或/和身份验证。我读过很多关于OAuth、SAML、JWT、HMAC等的文章,每次我看到作者都强调OAuth不是身份验证,您需要将authN与authZ区别开来。我有点困惑,因为我不明白:
当我需要使用身份验证(SSO,登录/密码)和何时授权(OAuth,令牌)的API?
HMAC、JWT是用于授权还是用于身份验证?因为它们是经过签名的,所以我可以将userid添加到此令牌中,使用类似于用户标识符。
authN工作流和authZ工作流有什么真正的区别?
浏览 7提问于2015-10-14得票数 0
回答已采纳
3回答
多个服务的一个JWT令牌
、、、、
我面临着ASP.Net核心中JWT身份验证的问题。情况如下:
我有一个ASP.NET Core,让我们称它为‘API’。对于提供正确登录/密码的用户来说,生成JWT令牌是合理的,而令牌是生成的。
我有第二个ASP.NET Core,名为‘Api’,它从数据库返回一些数据。我希望能够使用由'API A‘生成的JWT令牌来授权从'API B’访问数据。
是否可以通过使用JwtBarear身份验证来实现?
谢谢你的建议!
浏览 0提问于2018-03-30得票数 2
1回答
因此,我了解了如何使用JWT完成身份验证,在JWT中,我们基本上使用私钥来验证令牌是否有效(假设RSA是算法)。如果令牌有效,则认为用户已通过身份验证。
我还读到了关于会话身份验证的文章,其中我们检查用户提供的会话id (通过cookie)是否存在于会话存储中(假设使用mysql / redis来存储会话)。如果存在,则认为该用户已通过身份验证。
但是我们如何使用JWT和session进行授权呢?让我们考虑一个动作,比如GET invoice,用户只能查看他拥有的发票。
如果我们认为用户已经通过身份验证,
如果我们使用的是JWT,我们如何检查用户是否被授权?
那么我们如何在会话中做到这一点呢?
浏览 2提问于2020-03-10得票数 0
我读过关于API键和JWT的多个页面/博客文章,但我仍然很困惑何时使用其中之一。最近有人说,JWT已成为API身份验证的标准,但在下面所述的几种情况下,JWT对我来说变得令人困惑。
JWT“not”的选择适用于任何需要对用户进行身份验证的UI应用程序,以及任何需要在API上授权的API调用,而不仅仅是身份验证。
然后,语音出现了API,它只需要身份验证,不需要识别单个用户。在这种情况下,JWT看起来是过火了。
另一方面,当API (直接调用,没有UI)使用JWT而不是“静态”并且需要为它生成刷新令牌时,它是什么样子的呢?一般来说,API应该如何处理它?每一次请求都应该这样做吗?
浏览 0提问于2020-12-01得票数 10
回答已采纳
2回答
现在,许多开发人员使用JWT身份验证来授权api调用。顺便说一句,如果黑客能够捕获经过身份验证的用户的api调用请求,那么他就可以拥有经过身份验证的JWT令牌。然后,黑客可以使用授权的JWT令牌访问这个api,而无需进行身份验证。这样行吗?我想知道JWT身份验证实际上是安全的。你能解释一下吗?
浏览 5提问于2017-08-04得票数 0
回答已采纳
1回答
如何为微服务和用户传递JWT
、、、、
我正在构建一个基于微服务体系结构的系统。微服务是使用Asp.Net Core3.1创建的。
以下是一个简化的高级图表:
我希望在这个系统中有两个级别的安全:
微服务认证
当ApiGateway接收到请求时,它从InternalAuthService接收到一个"microservice JWT“,并在通过http向其他微服务发送请求时将该JWT包含在授权头中。此JWT包含一个或多个索赔,这些索赔被微服务用于决定请求是否应被接受或拒绝。
InternalAuthService是使用IdentityServer实现的,现在它似乎运行得很好。这意味着,如果CustomerServic
浏览 1提问于2020-01-21得票数 1
3回答
我有一个令牌,发送到后端,在那里验证它(jwt)。将令牌本身或我在后端创建的userId发送回客户端以供存储有什么不同吗?
我只需要在我的客户中指定一次userId。否则,我需要jwt /or userId对用户进行身份验证(如果我得到令牌用户身份验证的话)。但是,对于这一点,我是否返回令牌或userId并不重要,因为只有在后端发出jwt之后才会创建userId。
浏览 12提问于2022-11-10得票数 0
我们的团队有一个应用程序,我们使用Cognito进行身份验证。在以前的项目中,我们能够以特定用户的身份创建会话,这有助于我们调试问题。
目前,我们的应用程序使用JWT令牌进行Cognito所需的身份验证-我们是否能够为另一个用户(作为管理员)生成JWT令牌,以便更容易地调试应用程序中的问题?
浏览 12提问于2019-03-27得票数 0
回答已采纳
我创建了一个基于PHP框架的Rest,该框架使用JSON令牌(JWT)对访问进行身份验证和授权。
要使用API,客户端必须首先通过将其凭据发送到一个特殊的/auth/token路由来验证自己,如果正确,则返回一个数字签名令牌,其中包含允许的权限列表。对API的所有后续请求都需要令牌来进行身份验证和授权。这是相当标准的东西,而且效果很好。
但是现在我想将/auth/token服务分离到它自己的微服务中,以便将来可以与其他API一起重用它。
问题是,API现在将如何对JWT进行身份验证,因为它们无法访问用于生成JWT的秘密?
我使用Firebase\JWT\JWT来生成令牌,它将被移动到新的aut
浏览 0提问于2019-03-28得票数 6
回答已采纳
我在Django rest框架中实现了JWT令牌身份验证,它让我得到了令牌,但我得到的问题是我无法在需要身份验证的页面上对其进行身份验证。 我在验证过的url之后尝试了“授权:持有者”, 我尝试了"Authorization : JWT token“
浏览 16提问于2019-06-18得票数 0
我使用身份服务器4进行身份验证,我的客户端应用程序之一是Asp.net核心MVC项目,以及用于某些ajax请求的一个web资源。
我需要从一些页面的Mvc客户端,调用web资源通过javascript ajax调用。如何通过JWT或Cookies来处理身份验证?如何通过JWT?
浏览 0提问于2020-01-01得票数 2
回答已采纳
3回答
我使用JWT来处理一个SSO方案,其中两个系统(我们称之为A和B)都需要身份验证,但是用户数据存储仅位于一个系统中(比如A)。我所看到的关于JWT的一切都涉及到用户发布用户名/密码以接收JWT,但我想知道的是,将JWT返回给已经登录的用户是否安全。
为了使其更加具体,身份验证系统A (example.com)使用基于cookie/session的the,而第二个系统B (subdomain.example.com)需要JWT进行身份验证。我们不想强迫已经登录的具有会话cookie的用户再次输入用户名/密码以获得JWT,因此我们考虑实现一个API端点,该端点将返回一个JWT给已经登录的用户(通过
浏览 0提问于2015-11-19得票数 1
3回答
web上有很多关于使用JWT (Json Web Token)进行身份验证的信息。但是,当在多个域环境中使用JWT令牌作为单个登录解决方案时,我仍然没有找到一个清晰的解释。
我在一家在不同主机上有很多网站的公司工作。让我们使用example1.com和example2.com。我们需要一个单一的登录解决方案,这意味着如果用户在example1.com上进行身份验证,我们希望他也能在example2.com上自动进行身份验证。
使用example1.com流,我了解到希望在上进行身份验证的用户将首先被重定向到身份验证服务器(或OP:"OpenId Provider")。用户在该服
浏览 2提问于2015-11-15得票数 153
回答已采纳
1回答
在SAML和Kerberos身份验证模型中,可以清楚地了解哪些权威机构对用户进行了身份验证,并颁发了被下游系统信任的凭据。为了进行身份传播,下游系统模拟用户的权限可以在解决方案体系结构和相关的标识域内严格控制。
据我所知,SAML和Kerberos模型的完整性不是JWT方法的一部分。JWT似乎是一种提供与Kerberos非常相似的功能的机制,但没有定义的KDE的支持功能。
我是不是遗漏了什么?JWT是基于“信任网络”,还是每个JWT实现都负责定义自己的可信任身份验证机制等等?
浏览 0提问于2015-10-12得票数 6
回答已采纳
我想使用“微服务体系结构”,使用:
我的公司OpenID连接提供者从前端SPA对用户进行身份验证
用于授权的JWT (也就是说,从用户通过身份验证的那一刻起,JWT )
我不知道该怎么配置,甚至可能.
浏览 0提问于2018-06-20得票数 1
我已经建立了一个网站与vuejs前端和拉拉后端。
唯一的登录方式是通过Facebook登录社交网站
一切都很好。
现在,我正在构建一些使用Facebook登录但需要与相同的web交互的本地应用程序(Ios/Android)。
我想使用JWT来保护本机-> React的API。
我在Laravel端设置了JWT w/ Dingo,并且能够使用JWTAuth::fromUser()生成令牌。我已经建立了一些API端点来使用令牌进行身份验证。到目前一切尚好。
现在这部分变得粘稠了。我知道,在Laravel方面,您可以与任何用户一起创建JWT令牌。现在,JWT“标识符”只是“id”。我的理解是,
浏览 3提问于2017-05-29得票数 3
我正在从事一个nodejs项目,并且来自PHP背景。对于前端和后端的开发以及API调用的通信,我印象非常深刻。
#问题:我需要对用户进行身份验证并存储用户的一些数据(在服务器中总是需要的),这个用户数据会导致jwt有效负载大小和jwt令牌的增加。
因此,我使用JWT令牌机制,在成功登录后生成一个令牌,并将其发送到客户端,然后客户端通过每个API调用添加该令牌作为报头,然后在服务器中验证令牌并获取解码的有效负载数据。
这就是这个过程。但是我有一些在nodejs中总是需要的用户数据,因此JWT有效负载大小增加,JWT令牌大小也很大。所以每次客户端都会发送大容量的令牌。
我在php中使用会话来维护用
浏览 1提问于2019-03-12得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
