仅仅为了绕过特定API调用的[authorize]属性而生成临时JWT令牌是不是很糟糕？

文章/答案/技术大牛

发布

1回答

asp.net-core、jwt

通常，采购订单审批者需要登录以获得JSON Web Token (JWT)，并导航到特定订单，然后单击approve/reject按钮。然后，系统将使用适当的控制器/操作继续工作。请注意，"Approve“控制器受Authorize属性的保护，但登录的用户将收到JWT以通过身份验证。现在一切都按预期进行了。然后，审批者将决定单击approve或reject按钮(这将照常调用Approve API<

浏览 15提问于2020-08-19得票数 0

1回答

验证web api接收的令牌头

oauth、oauth-2.0、azure-active-directory、owin、power-automate

我的场景是，我有一个web应用程序，它通过OWIN对azure广告进行身份验证，并且我已经创建了web api，该api由HTTP Action通过Microsoft Flow调用。现在，在流程中，我已经使用Azure AD OAuth设置了HTTP调用，它成功地生成了授权令牌头，并调用了web api。首先，我像往常一样设置Authorize属性，因为如果请求没有经过身份验证，就会强制登录，但在这

浏览 0提问于2018-11-06得票数 1

2回答

使用JWT承载令牌和自定义AuthorizeAttribute标记角色枚举

c#、asp.net-mvc-5、oauth-2.0、asp.net-web-api2、jwt

我目前正在构建一个Web，它使用MVC 5和Web API 2进行JWT和OWIN身份验证。我似乎让所有这些都像预期的那样工作。然而，我现在想实现角色授权，但目前遇到了困难。现在，当用户向我的oauth/token端点提交username和password时，我已经生成了我的JWT，这将在我的数据库中查找该用户，并返回为该用户存储的enum Flag。(new Claim(ClaimTypes.Role, _userRole

浏览 0提问于2016-12-08得票数 0

2回答

是否可以使用Open流进行身份验证，但又有另一个授权规则来源？

node.js、angular、oauth、openid-connect、angular-oauth2-oidc

Node服务器查询本地Active实例(而不是ADFS)，如果用户进行身份验证，则使用存储在应用程序数据库(而不是AD)上的角色和特权来构建包含该用户声明的jwt。然后，角应用程序(实际上有2)可以根据用户的权限使用令牌内容来抑制菜单选项/视图。在调用API时，还将根据传递的令牌计算使用该端点的权限。我想知道是否可以从客户端调用/aut

浏览 4提问于2022-01-10得票数 1

回答已采纳

3回答

如何在Web应用程序中验证IdentiyServer签发Jwt令牌

c#、jwt、identityserver4、webapi、bearer-token

我正在使用IdentiyServer向客户端发布JWT令牌，令牌包含角色声明和一些其他声明，这部分工作得很好，我得到了具有所需声明的访问令牌。在我的web API应用程序中，我添加了以下代码来支持JWT身份验证： {}; 问题是，假设黑客生成了一个JWT令牌，并声称他想要并对其进行签名，我<e

浏览 3提问于2021-03-06得票数 2

7回答

如何将windows身份验证和JWT与.Net Core2.1相结合

authentication、asp.net-core、jwt、windows-authentication

windowsAuthentication": true, ..我已经尝试了以下代码片段来创建具有windows身份验证的JWT令牌： [ApiController] [Authorize(AuthenticationSchemes = "Windows")身份

浏览 0提问于2018-09-03得票数 6

1回答

我的系统有多安全？

authorization、jwt

我想使用在我的服务器上验证的jwt令牌，为了存储令牌，我将令牌分成2部分--签名和有效载荷--签名存储在一个带有crsf保护的httponly samesite cookie中，并且有效负载存储在工人中(如果这不是我要存储的其他地方的一个好做法，那么它的安全性如何？我做了什么额外的事情吗？

浏览 0提问于2022-07-10得票数 0

回答已采纳

3回答

GitHub应用程序-生成永久安装访问令牌

authentication、github、github-api

是否有办法让安装GitHub应用程序的用户生成永久安装访问令牌，应用程序可以使用该令牌来验证和执行该应用程序的操作？我想要创建一个简单的GitHub应用程序，它将运行在CI服务器上，并使用来自其中一个测试的数据对PRs进行评论。由于这个应用程序是由用户在他们的CI服务器上运行，所以没有地方存储GitHub应用程序的私钥，而该私钥通常用于生成描述的访问令牌。理想<e

浏览 7提问于2017-11-11得票数 1

回答已采纳

4回答

使用JWT生成API密钥，并在需要时重新生成相同的密钥。

api、jwt、key

最近，我发现自己需要为我的应用程序开发一个公共API。我用node.js和MongoDB开发了应用程序。经过一些研究，我决定使用jwt为用户生成API密钥和身份验证。对于验证jwt令牌，它们的好处是不需要将它们存储在数据库中，因为它们可以在不知道确切生成的令牌的情况下被解码和验证。但是我看到许多应用程序在应用程序仪表板中向用户显示了他们的API密

浏览 0提问于2019-08-04得票数 5

1回答

如何从Spotify访问令牌检索数据以及如何验证访问令牌

authentication、oauth-2.0、oauth、jwt、spotify

Spotify Api有一个选项，我目前正在使用该选项。当授权完成后，您将收到一个身份验证令牌，该令牌可以交换为访问令牌和刷新令牌。我目前面临的问题是:为了获得用户的Spotify ID，后端必须进行/me调用。这并不理想，因为Spotify有速率限制，这很容易以这种方式触发。通常，当您使用OAuth进行身份验证时，您将收到一个包含数据的JWT令牌，可能

浏览 2提问于2021-03-01得票数 1

2回答

.NET框架MVC和Web Api Auth JWT

.net、asp.net-mvc、jwt、asp.net-web-api2、bearer-token

我在MVC中有一个项目，使用的是.NET Frameworkv4.7，上面有一些WebApi。我需要知道的是如何使用中间件来授权HTTP请求和MVC Action请求的JWT。

浏览 6提问于2018-09-22得票数 11

1回答

C#和ASP.NET核心6：“会话”中的身份验证和用户详细信息

c#、asp.net、jwt、asp.net-core-6.0

在我看来，这个令牌的工作方式就像一个cookie，只是它被手动地保存在用户端，并通过头传递给每个请求？在授权头而

浏览 2提问于2022-01-26得票数 2

回答已采纳

3回答

ASP.NET中角色/组使用Auth0的授权

asp.net、asp.net-web-api、authorization、jwt、auth0

提前感谢你在这件事上的帮助！然而，如果我尝试授权(Roles= "myGroupName")授权失败。如果我将它手动添加到Auth0网站上的用户仪表板中，而不是通过扩展来分配，也会发生同样的情况。我的项目

浏览 8提问于2016-10-01得票数 3

回答已采纳

3回答

JWT前端和后端令牌策略

node.js、api、rest、ember.js、jwt

我有一个用express nodejs服务器编写的后端，它托管RESTful API。我没有连接到emberjs的DB，我不认为我应该这样做，因为它是严格意义上的客户端代码。我计划使用JWT在客户端和服务器端之间进行通信。当用户使用他们的oauth证书登录时，我从提供者那里得到一个JSON对象，其中包含uid、名称、登录名、access_token和其他详细信息。我正在努力选择一个如何处理用户注册的策略。因为它是OAuth，所以没有注册过程。所以流程是，如果用户不在我

浏览 0提问于2016-04-21得票数 39

回答已采纳

1回答

如何验证和更改JWT* Alg*

asp.net-web-api、oauth、oauth-2.0、asp.net-core、aspnet-contrib

我正在使用ASP.Net OpenID连接服务器项目(ASOS)为我的WebAPI创建和使用JWT。我想知道如何检查"alg“类型。我知道一个可以传递“无”的问题，这意味着有人可以伪造令牌(我不确定是否只是特定的库有问题，或者检查是否只是一般的好做法，但如果我执行该检查，我会感到更安全)。此外，如何验证JWT的完整性？目前，我的令牌

浏览 3提问于2016-08-09得票数 0

回答已采纳

3回答

使用经过身份验证的用户保护REST

rest、api、security、authorization

我想了解一下如何验证对API的调用。创建用户帐户获取它们的令牌作为响应令牌。令牌用于进行其余的调用。我不得不承认，我并不完全相信在调用login时返回令牌</em

浏览 0提问于2020-03-08得票数 2

回答已采纳

2回答

OAuth客户端凭据安全问题

authentication、oauth2、tokens

B公司的用户需要一个服务来创建和阅读B公司不提供的文本注释。 B公司雇用A公司向他们的用户提供这种服务。A，以便当他们的站点在任何用户的浏览器上加载时，他们能够为他们的小部件检索访问令牌。当他们的用户与小部件交互时，小部件将向带有客户端访问令牌的Resource发送请求，以便我们知道请求应该被授权，并且来自公司B站点。我们可以通过存储公司用户的唯一Id (例如:电子邮件)和该电子邮件的</e

浏览 0提问于2022-10-31得票数 0

2回答

对CSRF和XSS的保护(散列+加密)

rest、xss、csrf

问题1)从我所读到的中，我看到使用基于令牌身份验证的RESTful API的应用程序很容易受到XSS的攻击，如果令牌存储在浏览器的localStorage/sessionStorage而不是cookie这是因为，为了使CSRF工作，应用程序必须使用cookie。我说的对吗？但是，既然令牌存储在localStorage/sessionStora

浏览 0提问于2018-04-01得票数 5

7回答

如果JWT被偷了怎么办？

authentication、access-token、jwt

我正在尝试为我的RESTful API使用JWT实现无状态身份验证。实际上，这种担心适用于所有基于令牌的身份验证。如何防止这种情况发生？像HTTPS这样的安全通道？

浏览 5提问于2015-12-14得票数 281

回答已采纳

2回答

针对用户和APIs的单独身份验证服务器

api、security、authentication

我正在研究云服务身份验证系统，我不完全确定处理身份验证请求的最佳方法是什么。我们计划将映像服务器作为一个独立于API服务器的进程运行，这样我们就可以彼此独立地扩展它们。使用API密钥处理请求身份验证相当简单，因为我们可以让映像服务器存储自己的API密钥，并检查请求是否在头中提供(显然是通过HTTPS )，与API服务器一样。但是对于用户来说，它变得更复杂了。现在，我们已经设置了它，以便API服务器能够处理生成会话令牌

浏览 0提问于2016-09-07得票数 19

点击加载更多