Web API验证来自自定义身份验证提供程序的JWT持有者令牌
。
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它由三部分组成:头部、载荷和签名。JWT通常用于身份验证和授权,特别适用于分布式系统和单点登录场景。
Web API验证是指在Web应用程序中对API请求进行身份验证和授权的过程。自定义身份验证提供程序是指开发人员可以根据自己的需求实现的身份验证机制。JWT持有者令牌是指在身份验证成功后,API返回给客户端的令牌,用于后续的API请求。
在验证来自自定义身份验证提供程序的JWT持有者令牌时,可以按照以下步骤进行:
- 解析JWT令牌:使用相应的JWT库或工具,解析JWT令牌的头部和载荷部分。头部包含令牌的类型和算法信息,载荷包含令牌的相关数据。
- 验证签名:根据头部中指定的算法,使用事先约定好的密钥对令牌进行签名验证。确保令牌的完整性和真实性。
- 验证令牌有效期:检查令牌的有效期是否过期,防止使用过期的令牌进行访问。
- 验证令牌的其他信息:根据业务需求,可以进一步验证令牌中的其他信息,如用户角色、权限等。
- 授权访问:验证通过后,根据令牌中的用户信息,对API请求进行授权,决定是否允许访问相应的资源。
对于实现Web API验证来自自定义身份验证提供程序的JWT持有者令牌,腾讯云提供了一系列相关产品和服务:
- 腾讯云API网关:提供了全托管的API网关服务,支持自定义身份验证和授权策略,可与JWT令牌集成进行身份验证。
- 腾讯云COS(对象存储):用于存储和管理大规模的非结构化数据,可用于存储JWT令牌和其他相关数据。
- 腾讯云CKafka(消息队列):可用于实现JWT令牌的异步验证和授权,提高系统的可伸缩性和性能。
- 腾讯云云服务器(CVM):提供了可靠的云服务器实例,可用于部署和运行Web API应用程序。
- 腾讯云数据库(TencentDB):提供了多种数据库产品,可用于存储和管理与JWT令牌相关的用户信息和权限数据。
以上是腾讯云相关产品和服务的简要介绍,更详细的信息和产品介绍可以参考腾讯云官方网站:https://cloud.tencent.com/
相关·内容
1回答
我正在构建基于微服务架构的web应用程序。目前,我正在考虑几种用户身份验证流的方法。我预测了以下示例用户角色:
admin -能够创建内容、上传文件等(管理帐户只能由另一个管理员创建)
未经授权的用户-可以查看内容
授权用户-可以评论内容
以下是到目前为止我是如何考虑身份验证流的:
身份验证服务-具有用户凭据和权限的数据库访问权限
api网关-从用户检索请求,检查用户是否登录(即用auth服务验证OAuth2访问令牌),并根据用户请求(使用一些基本用户信息附加JWT令牌)将流传输到其他服务。
另一个服务--只接受来自api网关的请求,并信任来自JWT令牌的用户数
浏览 3提问于2017-03-27得票数 4
我的WEB托管在Docker中。我的requested将发送一个JWT令牌来访问这些API中的任何一个,我想在调用请求的API客户机之前,利用API网关特性添加一个授权检查。从中我看到,我们可以利用Lambda的概念来实现这一点。但是,当我能够想出一个DOT网络核心API来验证用户时,为什么要使用呢?
我的Lambda网关对我的案子有意义吗?
如果是,那么lambda授权程序的输出是什么?一个简单的true/false,它表示令牌是否有效?
我看到这就是响应应该/可能的样子。在我的案例中,这应该如何转化为
{
"policyDocument&
浏览 1提问于2019-08-23得票数 3
回答已采纳
1回答
每个租户使用认知池进行身份验证
、、、、
我正在看一个AWS reInvent视频:,它建议每个租户使用科尼图池。这就是身份验证的样子,并将Auth管理器引入到Auth中,以对抗Cognito,并获得基于OpenIdConnect的JWT令牌。
我在这里读到另一篇博文:
并建议使用附加在API网关上的自定义授权器。
我是否正确地认识到,我们应该在两个地方进行认证->
来自web应用程序使用AtAt API网关使用自定义授权器
浏览 2提问于2020-12-31得票数 0
我正在尝试理解Cookie;持有者和JWT之间的区别,特别是在.NET核心上下文中。我已经花了几天的时间来研究这个问题。
我的研究告诉我,Cookie和持有者是可选的身份验证机制,它们都表示为JWT。
可以说.NET核心web应用程序应该使用Cookie,而.NET核心Web API应该使用承载程序吗?我问这个问题的原因是,我看过的(在Cookie核心上下文中)每个持有者示例都使用Web API,而我看过(在.NET核心上下文中)Cookie的每个示例都使用web应用程序。我可以理解这一点,因为我的研究告诉我,cookies最适合web应用程序(使用浏览器-最适合cookies),但是web
浏览 1提问于2019-07-28得票数 0
1回答
我对春天的微服务世界是陌生的。由于我正处于学习阶段,我尝试并实现了以下内容。
Authentication/Authorization作为一个单独的微服务
路由(能够使用Spring云网关进行路由)
负载平衡(Netflix )
(Resilience4j) 速率限值与断路器
我只需要就在这些情况下应该做些什么作出一些澄清和建议:
因为我已经创建了身份验证/授权,作为一个单独的集中的微服务。现在,如何实现每个请求都必须包含jwt令牌和传递API网关来调用其他微服务,同时也应该检查哪个用户拥有访问其他微服务中API的权限。
如果有些人有相同的好来源,以便我可以学习,请做分享,或者如果有人有一个基
浏览 2提问于2021-02-25得票数 1
1回答
OAuth2流理解
、、、、
我试图了解如何保护我的应用程序。我选择使用Auth0来管理我的用户和应用程序。
我见过这样的流动:
我试着去理解这个流程,但我错过了一些东西。假设我有一个web应用程序,一个API网关,它试图调用一个内部应用程序,这是一个资源服务器。
我从图像流中了解到:
API网关应用程序使用Auth0进行身份验证,并获取访问令牌。
API网关应用程序用访问令牌调用资源服务器。
现在我错过了一些东西,难道不应该有更多的箭头,从资源服务器到Auth0,使用访问令牌来验证它或其他什么?
另一个问题是,要检查我是否理解,是否要对用户进行身份验证: 1.使用Auth0登录的用户获取令牌。
浏览 0提问于2017-01-12得票数 2
我目前在一个系统上工作,在这个系统中,我们有一个自定义的身份验证/授权系统。 我们正在迁移到AWS、Web API和lambda...我想重用我们当前拥有的用于身份验证/授权的内容。 我正在考虑一个身份验证/授权lambda,它有一个用于登录的端点和一个用于获取特定用户角色的端点。 web API将这两个路由路由到身份验证/授权lambda,其余路由到其他lambda。 我还需要使用JWT对网关进行后续调用。在我上面的场景中,令牌的生成/使用必须发生在哪里? 在这个新的AWS网关/lambda领域中,有没有更好的方式来利用我们的自定义用户/角色方案?
浏览 32提问于2019-05-15得票数 0
回答已采纳
我有一个运行在aws api网关后面的lambda函数,作为我的网站的后端。它使用认知授权器来验证我的网站的用户。这可以很好地工作。
现在,我需要根据不在云中运行且没有用户交互的应用程序接口对c#后端服务进行身份验证。它应该只同步数据。
我最初的计划是配置cognito凭证并通过cognito登录云,但这是不可能的,因为应用程序将需要开发人员访问我的云。
我也考虑过使用api网关api密钥,但我仍然需要cognito身份验证。
那么,我如何根据我的aws api验证我的c#服务,而不需要用户交互呢?
浏览 16提问于2019-11-08得票数 1
1回答
Web :授权或/和身份验证
、、、、
我创建了asp.net web项目。我需要添加授权或/和身份验证。我读过很多关于OAuth、SAML、JWT、HMAC等的文章,每次我看到作者都强调OAuth不是身份验证,您需要将authN与authZ区别开来。我有点困惑,因为我不明白:
当我需要使用身份验证(SSO,登录/密码)和何时授权(OAuth,令牌)的API?
HMAC、JWT是用于授权还是用于身份验证?因为它们是经过签名的,所以我可以将userid添加到此令牌中,使用类似于用户标识符。
authN工作流和authZ工作流有什么真正的区别?
浏览 7提问于2015-10-14得票数 0
回答已采纳
4回答
我有一个spring-boot应用程序,它有4个微服务、eureka服务器和一个集中的API网关。
所有外部流量都通过我的API网关到达我的微服务。
我的API网关(Zuul)正在验证和验证JWT token。
JWT令牌是在用户登录后由我的一个微服务(users微服务)生成的,该令牌包含用户Id及其角色/权限。
现在,我想在微服务而不是网关中的方法上实现基于角色的安全性。
我尝试过使用@PreAuthorize,但它不能在网关之外工作(显然,为了让它工作,我必须在我的微服务的SecurityContextHolder中设置一个Spring Security身份验证对象,并用权限填充它)。
那
浏览 3提问于2020-01-17得票数 7
我在我的web应用程序中使用了以下技术栈
CloudFront作为代理和CDN
S3起源于CloudFront服务于AngularJS应用程序
REST的APIGateway起源于CloudFront
基于CognitoAuthorizer的认知CognitoAuthorizer在API中的认证
为了存储会话,我通常将发布的JWT存储在客户端Cookie、HTML5 LocalStorage或SessionStorage中。
但是,我很想知道CloudFront签名的Cookies可以为Web应用程序提供会话状态。我希望使用签名Cookies来存储JWT,并使用Edge
浏览 0提问于2017-07-22得票数 2
回答已采纳
2回答
我开发了一个应用程序,前端使用React,后端使用ASP.Net Web。我正在使用JWT进行授权。这个过程是
当用户登录并进行身份验证时,将向前端发送2个令牌、访问令牌和刷新令牌。访问令牌是JWT,刷新令牌是随机字符串,刷新令牌存储在数据库中。
对于每次在头中附加对API访问令牌的调用,我都有一个验证访问令牌的身份验证筛选器。
访问令牌过期后,将引发带有错误消息TokenExpired的401状态。
一旦前端接收到401,它就会调用刷新令牌API来获取刷新令牌。
我面临的问题是,我不能使用身份验证过滤器来验证刷新令牌API的访问令牌,因为它会因为过期的访问令牌而抛出4
浏览 6提问于2021-11-24得票数 0
1回答
我有后端和前端的应用程序。我们使用JWT令牌进行身份验证和授权(A2)。现在,我们计划使用快速网关作为API网关( AG ),这样后端就可以从路由和其他保护中卸载,重负载,并将负担转移到AG。现在,由于我们使用的是AG,我们将从后端删除A2逻辑,无论什么请求到达后端(每个请求都将通过AG从用户路由到后端),我们将其视为经过身份验证的用户并处理请求,无需再次验证。如果是,那么我们仍然需要JWT令牌来获取有效负载来提取诸如电子邮件id、角色等信息。为此,我们应该将令牌从AG传递到后端。此外,支持可能有不同类型的有效载荷上的东西比EG。如何解决这个问题。
浏览 5提问于2021-12-30得票数 0
我为我的API服务实现了身份验证,并考虑了基于Laravel5.2令牌的身份验证。是否有任何理由使用Json Web令牌来代替?实际上是可比的吗?我找到了tymondesigns/jwt包和一些关于它的教程。但是,由于Laravel5.2支持本地令牌身份验证,这个包的目的是什么?
浏览 3提问于2016-05-24得票数 12
回答已采纳
我看到myapp能够在服务器上正确地处理OAuth2 JWT令牌,但是它在本地主机上出现令牌转换错误。
我的流如下所示-
On Server,myapp在自定义 api-gateway后面
获取访问令牌-通过postman,我点击api网关令牌端点,然后调用authserver令牌端点。我得到了OAuth JWT令牌作为响应。
总之,邮递员
请求:-(Creds)->api-网关-(Samecreds)-> auth-server
响应: jwt令牌<-(相同jwt)-- api-网关<-(Jwt)-auth服务器
接下来,我点击了myapp 端点--再
浏览 10提问于2022-09-15得票数 0
当前实现
我当前的应用程序在前端使用了Vue.js + Auth0。
Vue.js利用API网关,POST/GET方法通过以下方式发送:
https://xxxx.execute-api.us-east-1.amazonaws.com/dev/
在需要身份验证的API端点上,我有一个"jwtRsaCustomAuthorizer“授权器。这是记录在案的。
剩余关注点
但是,是否正在验证令牌是否足够有效?在这个场景中,我想创建一个POST函数,它将完成两件事:
更新用户app_metadata
保存与用户关联的数据
我如何知道用户id auth0|123456是谁,他们说
浏览 2提问于2019-01-12得票数 1
回答已采纳
1回答
API网关应该负责授权吗?
、、、、
目前,我有一个带有Java/Spring的monolith应用程序,其端点如下:
/login
/logout
/some-resource
要访问some-resource,流程如下:
用户向POST端点发出/login请求。如果凭据正确,则在标头中返回JWT令牌,否则返回401。
用户将JWT令牌连同请求一起发送到/some-resource。如果令牌有效,则返回资源,否则为403。
现在,我想将monolith分成两个服务:"AuthServer“和"SomeResourceServer”。顶部将有一个API网关。我正在考虑两种可能的处
浏览 1提问于2018-06-05得票数 12
回答已采纳
3回答
多个服务的一个JWT令牌
、、、、
我面临着ASP.Net核心中JWT身份验证的问题。情况如下:
我有一个ASP.NET Core,让我们称它为‘API’。对于提供正确登录/密码的用户来说,生成JWT令牌是合理的,而令牌是生成的。
我有第二个ASP.NET Core,名为‘Api’,它从数据库返回一些数据。我希望能够使用由'API A‘生成的JWT令牌来授权从'API B’访问数据。
是否可以通过使用JwtBarear身份验证来实现?
谢谢你的建议!
浏览 0提问于2018-03-30得票数 2
我已经使用NGINX+在API级别实现了身份验证,现在我担心它背后的API是否仍然需要使用APIs或JWT进行身份验证?什么是最佳做法?
我的观点是,有人可能有意或无意地进入内部网络,然后使用那些大范围开放的API(不进行身份验证)。但是,另一方面,我有一个问题:在API网关级别上进行身份验证的目的是什么?
浏览 0提问于2020-12-01得票数 2
回答已采纳
我试图使用System.IdentityModel.Tokens.Jwt和Identity在Web中实现基于JWT令牌的身份验证。
我在跟踪
Web.config
<appSettings>
<add key="issuer" value="http://localhost/" />
<add key="secret" value="IxrAjDoa2FqElO7IhrSrUJELhUckePEPVpaePlS_Xaw" />
</appSettings>
虽然我能够
浏览 2提问于2019-02-27得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
