腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
2
回答
我不能很好地理解JWT认证
authentication
、
token
、
jwt
、
http-token-authentication
现在,许多开发人员使用JWT身份验证来授权api调用。顺便说一句,如果黑客能够捕获经过身份验证的用户的api调用请求,那么他就可以拥有经过身份验证的JWT令牌。然后,黑客可以使用授权的JWT令牌访问这个api,而无需进行身份验证。这样行吗?我想知道JWT身份验证实际上是安全的。你能解释一下吗?
浏览 5
提问于2017-08-04
得票数 0
回答已采纳
2
回答
如何通过不同的API对JSON令牌(JWT)进行身份验证?
authentication
、
jwt
、
microservices
我创建了一个基于PHP框架的Rest,该框架使用JSON令牌(JWT)对访问进行身份验证和授权。 要使用API,客户端必须首先通过将其凭据发送到一个特殊的/auth/token路由来验证自己,如果正确,则返回一个数字签名令牌,其中包含允许的权限列表。对API的所有后续请求都需要令牌来进行身份验证和授权。这是相当标准的东西,而且效果很好。 但是现在我想将/auth/token服务分离到它自己的微服务中,以便将来可以与其他API一起重用它。 问题是,API现在将如何对JWT进行身份验证,因为它们无法访问用于生成JWT的秘密? 我使用Firebase\JWT\JWT来生成令牌,它将被移动到新的aut
浏览 0
提问于2019-03-28
得票数 6
回答已采纳
1
回答
是否确实需要ID令牌JWT签名?
openid
在授权代码OpenID工作流中,最后一步包括web应用程序(“客户端”)在授权服务器上用授权代码交换ID令牌。ID标记是JWT,请参阅。 在这种情况下验证签名的目的是什么?服务器/web应用程序通过TLS与身份验证服务器通信,因此签名的目的似乎不太清楚。
浏览 3
提问于2022-07-12
得票数 0
1
回答
双JWT提交方法
web-application
、
account-security
、
session-management
、
jwt
、
react
我通过使用double submit方法来实现我的JWT方法:在这里,我们将JWT的有效载荷和头部分与签名分开。 标头和有效载荷存储在单独的cookie中,而不是HttpOnly,因此客户端可以访问它,签名是HttpOnly。 这个实现看起来很直接,但是我在理解refresh是如何工作的方面有一个问题。 例如,由于我使用的是firebase,用户jwt令牌的到期时间为1小时。当该标记过期时,我们需要自动刷新令牌,但这意味着我们正在刷新整个令牌。签名令牌的全部要点是会话长度。 如何在不影响签名的情况下只刷新令牌的有效负载和标头部分? 我使用的策略是基于本文:https://medium.com/
浏览 0
提问于2020-03-05
得票数 2
1
回答
在NodeJS后端使用JWT与Active身份验证
node.js
、
security
、
authentication
、
active-directory
、
jwt
我正在构建一个内部网web应用程序,由一个棱角前端和一个Node.JS后端组成。应用程序需要使用公司Active进行身份验证和授权。 我正在考虑如何以一种安全的方式最好地实现这一点。我计划使用与AD进行实际通信,以便在用户登录时进行身份验证,并检查安全组成员是否存在某些受限操作等。 但是,我不太确定授权我的后端端点的最佳方法是什么。AD模块不提供任何令牌/票证,即使我认为Kerberos用于实际的身份验证过程。在我开发的其他经过身份验证的应用程序中,我在用户登录时生成了一个jsonwebtoken,然后在每个后端路由中传递并验证了该令牌,这是否也是针对AD进行身份验证的一个好主意? 编辑:问题
浏览 4
提问于2015-05-27
得票数 12
回答已采纳
3
回答
多个服务的一个JWT令牌
authentication
、
jwt
、
asp.net-core-2.0
、
asp.net-core-webapi
、
authorize
我面临着ASP.Net核心中JWT身份验证的问题。情况如下: 我有一个ASP.NET Core,让我们称它为‘API’。对于提供正确登录/密码的用户来说,生成JWT令牌是合理的,而令牌是生成的。 我有第二个ASP.NET Core,名为‘Api’,它从数据库返回一些数据。我希望能够使用由'API A‘生成的JWT令牌来授权从'API B’访问数据。 是否可以通过使用JwtBarear身份验证来实现? 谢谢你的建议!
浏览 0
提问于2018-03-30
得票数 2
1
回答
使用授权代码授予而不使用cookie?
angular
、
oauth-2.0
、
jwt
、
spring-security-oauth2
、
openid-connect
我已经读了好几个月了,看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界: OAuth2 OpenID连接 水疗中心/移动客户 JWT 以上部分涉及到具有银行级安全质量的解决方案。所以这似乎是有意义的。 在不使用服务器端会话和cookie的情况下使用,因为这个OAuth流比隐式流更安全。 不要创建服务器端会话或cookie(此外,请记住我的cookie,以确定客户端以前是否已经过身份验证)。这是更好的缩放和整体简单性。 将JWT / OpenID连接令牌返回到客户端,以便客户端可以使用它来发出API请求并在客户端内作出授权决策。(我认为这就
浏览 1
提问于2017-10-06
得票数 5
回答已采纳
1
回答
在不向Keycloak API发出请求的情况下,如何保证在验证Keycloak (OIDC)令牌时的安全性?
oauth
、
jwt
、
keycloak
、
openid-connect
关于OAuth、OIDC和Keycloak有很多信息,但是每个教程似乎都要掩盖的主要问题是离线验证。我发现的唯一信息是在关于RPT内省的Keycloak文档中: 号就像Keycloak服务器发出的常规访问令牌一样,RPTs也使用JSON (JWT)规范作为默认格式。如果您想在不调用远程内省端点的情况下验证这些令牌,可以在本地解码RPT并查询其有效性。一旦解码了令牌,还可以使用令牌中的权限强制执行授权决策。 如果我想用授权令牌来验证用户的请求,我会向Keycloak内省(或者userinfo?)提出一个请求。API接口。我不完全确定,但我猜想Keycloak随后会用Keycloak用户数据库验
浏览 3
提问于2022-08-31
得票数 0
2
回答
什么是JWT中的密钥
jwt
我无法清楚地掌握JWT是如何工作的,尤其是。签名部分。 一旦客户端提交了正确的用户名和密码,身份验证服务器就会创建一个包含标题、有效负载/声明和签名的JWT令牌。 问题1-签名是否是只有认证服务器知道的秘密密钥(不是用户的密码)(某种服务器的私钥)? 问题2-假设我使用单独的应用程序服务器和身份验证服务器,在从客户端接收JWT时,应用程序服务器是否会将JWT发送到身份验证服务器以进行验证?我认为应用服务器无法验证JWT令牌,因为它不知道用于签署头部和有效负载的密钥。 问题3-我把下面的JWT粘贴到了jwt.io上。我看到消息Signature Verified。jwt.io如何知道签名是正确的
浏览 0
提问于2018-05-14
得票数 15
回答已采纳
1
回答
没有"exp“字段的JWT生存时间是多久?
jwt
没有"exp“字段的JWT生存时间是多久?例如,此内标识: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c { "alg": "HS256", "typ": "JWT" } { "sub"
浏览 24
提问于2020-06-05
得票数 0
1
回答
需要一些关于REST的JWT身份验证的信息
rest
、
asp.net-core
、
jwt
、
jwt-auth
我需要保护REST,因为我在一个简单的REST上使用了JWT身份验证。在完成JWT身份验证之后,我需要一些问题的答案,如果有人能在这里帮助我,那就太好了。以下是问题: 基于令牌的认证如何比基本的authentication?What更安全是检验令牌有效性的标准?令牌生成算法是JWT?,令牌在哪里/如何是compared/Verified??
浏览 4
提问于2020-06-27
得票数 0
1
回答
对于JWT,iat和exp的值应该是什么?
api
、
jwt
、
authorization
、
bearer-token
我正在使用一个API,它声明在每个请求的授权头中使用JWT,并且说exp和iat不是可选的。如何确定用于iat和exp的值?有关系吗?是什么阻止我把时间定在遥远的过去,让时间变成我想要的任何东西? RFC7519提到了iat "iat“(发出at)索赔标识了发布JWT的时间。这一索赔可以用来确定JWT的年龄。它的值必须是一个包含NumericDate值的数字。使用此索赔是可选的。 和exp -- "exp“(过期时间)声明标识在其上或之后的到期时间,不能接受该到期时间进行处理。"exp“索赔的处理要求当前日期/时间必须在"exp”索赔中列出的到期日期/时间
浏览 1
提问于2020-02-12
得票数 1
回答已采纳
1
回答
我是否正确地处理JWT令牌?
php
、
api
、
jwt
、
angularjs
该应用程序分为两个部分,前端编写的角度框架和后端,简单的PHP文件,处理登录,API调用等。 我目前的流程如下: 用户创建一个帐户/登录。凭据通过HTTPS以明文形式发送。 正在对照数据库检查凭据(使用此https://www.php.net/manual/en/function.password-hash.php对密码进行盐析+散列,并将其与使用https://www.php.net/manual/en/function.password-verify.php的DB中的密码进行比较)。 登录信息匹配-一个JWT (使用这个库:https://github.com/firebase/php-j
浏览 0
提问于2021-08-25
得票数 1
回答已采纳
3
回答
在Security应用程序中是否存在获取配置的公共证书的端点?
spring-boot
、
spring-security
、
spring-security-oauth2
在使用Security充当授权服务器的Spring应用程序中,我配置了JWT和一个密钥对来对令牌进行签名。 是否存在允许我们获得公共证书的现有端点?
浏览 2
提问于2018-12-01
得票数 1
回答已采纳
2
回答
Azure AD B2C + App +函数:如何流?
azure
、
.net-core
、
azure-web-app-service
、
azure-functions
、
azure-ad-b2c
我有一个网络应用程序(VueJS + ASP .NET核心后端)托管在Azure上,我使用Azure B2C进行身份验证。我也有一个函数应用程序,我想从客户端代码中调用它,但我不确定如何才能最好地将auth流到函数中。 我可以在B2C中注册函数应用程序并设置Easy,但是如何将已经通过身份验证的用户从客户端流到函数? 我可以创建一个定制的JWT令牌并完成它,但是是否可以将一个B2C令牌流到函数中呢?如果是,我如何验证令牌?
浏览 0
提问于2019-03-05
得票数 0
4
回答
在服务器上存储的JWT令牌在哪里以及其他相关问题
security
、
jwt
正如标题所示,JWT令牌存储在服务器端的何处?在数据库里还是在纪念馆?我知道实现可能会因不同的需求而有所不同,但一般情况下,您会把它存储在哪里呢? 如果我想提供一个非常基本的令牌身份验证服务器,这意味着在通过POST请求接收用户名和密码时,我想返回一个令牌。在这种情况下,使用非常基本的算法生成的令牌如何与jwt令牌不同? 使用简单算法生成的令牌: 它不包含有效载荷。 它的值不是根据用户名和密码计算的,因此不能将其重新哈希为任何有意义的内容。 在这种情况下,仍然存在使用JWT的价值吗? 谢谢!
浏览 2
提问于2015-10-31
得票数 16
1
回答
如何将JWT与巴列利纳结合使用
wso2
、
jwt
、
ballerina
我读过关于JWT的文章,我想我理解它是如何工作的,但是当谈到芭蕾舞者的例子时,我什么也不懂: 如何设置与JWT一起使用的算法和过期时间? 如何使用自定义私钥? 如何从这个示例中获得令牌,例如""? 可能是如何使用CURL获得令牌(用于测试目的)? 另外,我想知道如何使用JWT,而不需要有一个有用户和密码的数据库。 我对保安和芭蕾舞演员也很陌生。有人能帮忙吗?
浏览 3
提问于2020-04-27
得票数 4
回答已采纳
1
回答
如何在SPA加载期间验证和更新JWT id_token?
node.js
、
jwt
、
single-page-application
、
openid-connect
、
oauth2orize
我对OAuth 2.0和OpenID Connect非常陌生,我很难理解流程的某些部分(或者我应该使用什么最佳实践)。 很抱歉发表了这么长的文章:) 我的设置: OP (OpenID Provider),它基本上是一个使用oauth2orize-openid和passport对用户进行身份验证和授权的express服务器。我们叫它http://authserver.com吧 需要根据我的Single page application (react+webpack)对用户进行身份验证的react+webpack,让我们称之为http://my-spa.com 由于这是一个SPA
浏览 10
提问于2017-01-05
得票数 3
回答已采纳
2
回答
如何在NodeJs中持久化用户登录?
javascript
、
node.js
、
reactjs
、
express
、
authentication
我已经用MERN栈构建了一个应用程序(Mongo,Express,React & NodeJs)。现在我正在研究如何建立一个认证系统。这里有大量的教程和视频,在这些教程和视频中,用户被认证的时间最多为24小时,然后必须重新登录。他们要么使用jwt,要么使用session与express-session类似的东西。然而,我使用的某些网站,我基本上是从来没有注销。 我真的很想自己创建一个系统,在这个系统中,用户至少要经过14到30天的身份验证,而不会被提示重新登录(理想的时间更长)。我在网上找不到关于如何长时间持久化用户登录的好资源。我知道,在建立这样一个系统时,涉及到大量的安全权衡。我还
浏览 1
提问于2022-03-02
得票数 0
1
回答
用OpenId“验证”JWT令牌以证明身份验证吗?
jwt
、
openid-connect
、
azure
、
openid
、
api-gateway
我有一个静态反应应用程序,用户通过Okta SPA应用程序登录。 该应用程序接收一个JWT,并将其存储在浏览器中,并在每次请求时通过Authentication头传递给后端API。 使用Azure管理的API。他们提供验证JWT令牌的“策略”。 <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation-error-message="JWT Token invalid" require-scheme="Bea
浏览 0
提问于2021-09-16
得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
NET使用Jwt、OpenID Connect实现基于OAuth的身份验证
Sec快速指南:基本身份验证,SAML,密钥,OAuth,JWT和tokens
Sign in with Apple被曝零日漏洞,可远程劫持任意用户帐号
JSON Web Token,服务端信息传输安全解决方案
微服务架构之:访问安全
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券