后端springboot中的jwt验证
基础概念
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间安全地将信息作为JSON对象传输。在后端Spring Boot应用中,JWT常用于用户身份验证和信息传递。
优势
- 无状态:服务器不保存会话信息,减轻服务器压力。
- 安全性:使用签名算法确保数据不被篡改。
- 跨域支持:JWT可以在不同的域之间传递,适用于分布式系统。
- 扩展性:可以携带更多的自定义信息。
类型
- 访问令牌(Access Token):用于访问资源。
- 刷新令牌(Refresh Token):用于在访问令牌过期后获取新的访问令牌。
应用场景
- 用户登录认证
- API访问控制
- 单点登录(SSO)
实现JWT验证的基本步骤
- 生成JWT:用户登录成功后,服务器生成一个包含用户信息的JWT并返回给客户端。
- 验证JWT:客户端在每次请求时携带JWT,服务器验证其有效性。
示例代码
以下是一个简单的Spring Boot应用中使用JWT进行身份验证的示例:
依赖配置
在pom.xml中添加以下依赖:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>JWT工具类
创建一个JwtUtil类用于生成和验证JWT:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JwtUtil {
private static final String SECRET_KEY = "yourSecretKey";
public String generateToken(UserDetails userDetails) {
Map<String, Object> claims = new HashMap<>();
return createToken(claims, userDetails.getUsername());
}
private String createToken(Map<String, Object> claims, String subject) {
return Jwts.builder()
.setClaims(claims)
.setSubject(subject)
.setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10小时过期
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
public Boolean validateToken(String token, UserDetails userDetails) {
final String username = extractUsername(token);
return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
}
private String extractUsername(String token) {
return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject();
}
private Boolean isTokenExpired(String token) {
return Jwts.parser().setSigningKey(SECRET => 'yourSecretKey').parseClaimsJws(token).getBody().getExpiration().before(new Date());
}
}控制器示例
在控制器中使用JwtUtil进行身份验证:
@RestController
@RequestMapping("/api")
public class UserController {
@Autowired
private JwtUtil jwtUtil;
@Autowired
private AuthenticationManager authenticationManager;
@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody AuthenticationRequest authenticationRequest) throws Exception {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword())
);
SecurityContextHolder.getContext().setAuthentication(authentication);
String jwt = jwtUtil.generateToken((UserDetails) authentication.getPrincipal());
return ResponseEntity.ok(new AuthenticationResponse(jwt));
}
@GetMapping("/user")
public ResponseEntity<?> getCurrentUser(@RequestHeader("Authorization") String token) {
if (token != null && token.startsWith("Bearer ")) {
String jwtToken = token.substring(7);
if (jwtUtil.validateToken(jwtToken, getCurrentAuthenticatedUser())) {
String username = jwtUtil.extractUsername(jwtToken);
// 返回用户信息
return ResponseEntity.ok(new UserResponse(username));
}
}
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
private UserDetails getCurrentAuthenticatedUser() {
// 获取当前认证的用户详情
}
}常见问题及解决方法
- JWT过期:客户端需要处理JWT过期的情况,通常是通过刷新令牌来获取新的访问令牌。
- JWT泄露:确保JWT在传输过程中不被泄露,可以使用HTTPS协议进行加密传输。
- 服务器时钟不同步:确保服务器时钟同步,以避免JWT过期时间验证失败。
- 签名算法选择:根据安全需求选择合适的签名算法,如HS256、RS256等。
参考链接
相关·内容
1回答
如何禁用JWT令牌
、、、
当用户从应用程序注销时,我想禁用生成的JWT令牌,这需要在后端代码中完成。如何使用身份验证服务器(SpringBoot)禁用JSON Web Token (JWT)
浏览 60提问于2019-12-27得票数 2
我已经用OAuth2和JWT服务器以及资源服务器实现了SpringBoot2 .我的后端由下面的表格组成:
AppUser
AppRole
AppPermission
OAuth_Client_Details
有人能指导我如何实现注销功能吗?
浏览 1提问于2018-10-07得票数 0
1回答
我正在创建一个用于前端Reactjs和后端SpringBoot(REST)的应用程序。
为了安全起见,我想使用JWT令牌。由于窃取JWT刷新令牌可能意味着安全问题,我想问问您,下面的场景是否有效:
后端
- on login create access-JWT and refresh-JWT
- in both in payload section set the same unique UUID(so I create a "link" between them).
- save the hashCode of refresh-JWT in DB (for fut
浏览 1提问于2018-05-06得票数 1
我正在做一个网站前端角度8,后端springboot,maven,hibernate和mysql数据库。我很擅长认证和管理登录,用户和角色在前端的页面和后端我看过它jwt toutorial或oauth2,但我没有找到任何对我的工作。我真的很感激如果有人能建议我一个最简单的方式或链接我的一些教程。如果你能帮助我,我可以需要一些解释,我需要在前端与角度和后端与弹簧启动。
感谢你的帮助
更新...
mt jwt代码与本指南相同
但是我不能理解我在JwtUserDetail里面需要什么,因为那里不存在...有人知道我需要什么吗?
浏览 14提问于2019-10-29得票数 0
1回答
我正在尝试使用Springboot和Gradle创建一个restful风格的web应用程序。我使用JWT进行身份验证。当用户登录时,后端会为该用户创建一个用户令牌。每当他打开另一个页面来检索他的数据时,他都会使用这个令牌。 我试图做的是做一个注册页面,但问题是,我不能发送信息到我的后端没有一个无记名令牌。在这一次post操作中,我如何发送POST方法来创建用户而不进行身份验证? 要为存在的用户生成令牌,请执行以下操作 @PostMapping(value = "${jwt.get.token.uri}")
public ResponseEntity<?>
浏览 31提问于2021-05-10得票数 0
回答已采纳
1回答
我正在构建一个后端REST API应用程序,它接受来自使用Firebase身份验证的客户端的请求,该客户端将在所有请求的头部中传递JWT令牌。 对于请求,我应该在请求体中仍然需要UserID,还是应该只使用JWT令牌作为解码和获取所有请求的UserID的源? 使用SpringBoot,我想我可以创建一个过滤器来解码所有请求的JWT,然后创建一个可以在整个链中引用的用户对象。 但我不确定是否还需要UserID,如果只是作为文档的一点来说明这里使用UserID来处理业务逻辑的话。你觉得呢?
浏览 16提问于2021-10-28得票数 0
我已经将现有的REST API内置于多个springboot项目中。现在我想为所有的REST服务启用JWT。我有一个单独的项目,为测试服务做JWT。JWT项目是否可以像库一样链接或关联为springboot父项目,以便为存在于多个项目中的所有REST服务启用spring JWT身份验证。
浏览 2提问于2020-02-09得票数 0
我在后端的springboot应用程序中使用了jwt令牌,然后使用了这个令牌反应前端应用程序。现在我想要后端令牌过期时间集和存储控制台..。
const decodedToken = jwt_decode(token);
localStorage.setItem("time", decodedToken.exp);
console.log(localStorage.getItem("time"))
使用上述代码以秒为单位检索过期时间。但是它返回这个代码1661342806。
浏览 1提问于2022-08-25得票数 0
2回答
我正在开发一个带有Spring后端的移动应用程序。我希望有三种类型的登录方法(1)。用户名和密码(2)。Facebook (3)。谷歌。
,我有以下问题,。
1)如果我通过Firebase身份验证处理移动应用程序中的身份验证部分(并将所有用户存储在Firebase上),是否需要在我的Spring Boot侧编写身份验证代码?还是我只需要在Sprin Bboot端进行身份验证?
2)我想要用于所有身份验证系统(Facebook、Google和用户名和密码)的令牌。移动应用程序将为它向Springboot应用程序发出的每一个请求发送JWT令牌。
3)我正在寻找一个循序渐进的教程,展示如何在Spri
浏览 3提问于2019-10-17得票数 12
我们已经在Powershell核心中生成了一个持有者JWT令牌,并使用.NET生成的X509自签名证书的pfx对该令牌进行了签名。
我们需要在Springboot Java应用程序中验证令牌签名。为此,我们使用Java中的key工具将pfx导入到java密钥库(jks)中。
keytool -importkeystore -srckeystore "certificate.pfx" -srcstoretype pkcs12 -destkeystore "clientcert.jks" -deststoretype JKS
我们在资源服务器中验证令牌签名,在该资源
浏览 31提问于2018-01-16得票数 1
我计划在我的微服务上实现JWT认证,以实现零信任架构。用户将通过前端微服务生成JWT令牌.每个后续请求都将包含这个JWT,该JWT将被转发到后端服务,这样服务就可以自己对用户进行身份验证,而不是从前端服务中获取一个简单的用户id。该方案在两种情况下失败。
用户在前端服务上发起呼叫,该呼叫生成要依次在后端服务上执行的步骤的长列表。JWt令牌最终将过期,步骤序列将停止,因为后端服务不会使用expried令牌对来自前端的进一步请求进行身份验证。
后端服务通过内部进程启动用户资源上的某些进程。如果发票未付款,请删除用户服务器。
在这两种情况下,用户都无法通过登录凭据生成新的JWT令牌。除了JWT之外,
浏览 0提问于2019-12-10得票数 5
我有一个springboot应用程序。端点是安全的,它们需要jwt令牌授权才能被访问。应用程序中有一个端点,它接受用户名和密码并返回一个jwt令牌。现在可以在authorization头中设置该令牌,并且可以访问其他安全api。
我有另一个springboot应用程序,它充当zuul api网关。如何通过此zuul应用程序调用我的安全api。我是微服务架构的新手。请给我建议。
浏览 22提问于2019-10-28得票数 2
我正在设计一个移动应用程序的后端。 Azure-B2C被用作社交登录的身份验证服务器。移动应用将从Azure获取访问令牌,并发送到后台进行注册和登录,服务器将为将来的请求生成自己的jwt令牌。 我如何在springboot中实现它?
浏览 12提问于2020-12-30得票数 0
我的问题:如何使用以Shibboleth作为身份验证机制的JWT令牌来保护Node?
我的应用程序流
我有一个AngularJS应用程序和一个后端节点JS应用程序。
AngularJS应用程序通过API在HTTP上公开,与后端应用程序进行通信。
现在,AngularJS应用程序中的身份验证是使用Shibboleth实现的,它运行得非常好。
在Shibboleth SSO中,用户正在通过IDP进行身份验证,因此在Login机制中我没有控制权。换句话说,国内流离失所者超出了我的控制范围。
一旦通过认证,Shibboleth就会将用户所需的数据返回给AngularJS应用程序。
浏览 0提问于2018-07-18得票数 6
我有一个应用程序,登录后会在其中获得JWT令牌。pool.The JWt令牌具有用户claims.It具有名为ROle.Based的自定义声明角色我想保护我的APIS.For示例如果我有一个用户,他只需要访问Spring,而管理员需要访问所有APIS。我在backend.So上使用Springboot如何使用/user安全
浏览 25提问于2021-01-21得票数 0
我正在使用Keycloak作为身份提供者。我有一个springboot-mvc-client应用程序,它注册为一个机密客户端,并配置为authorization_code授予类型。当我访问应用程序时,我被重定向到Keycloak登录页面,在成功登录后,我可以看到我的springboot-mvc客户端页面。一切正常工作。。
现在我有了另一个springboot-rest-api,它是一个ResourceServer。我已经将application.properties配置为:
server.port=8182
spring.security.oauth2.resourceserver.jwt.i
浏览 1提问于2021-10-14得票数 0
回答已采纳
3回答
我有一个令牌,发送到后端,在那里验证它(jwt)。将令牌本身或我在后端创建的userId发送回客户端以供存储有什么不同吗?
我只需要在我的客户中指定一次userId。否则,我需要jwt /or userId对用户进行身份验证(如果我得到令牌用户身份验证的话)。但是,对于这一点,我是否返回令牌或userId并不重要,因为只有在后端发出jwt之后才会创建userId。
浏览 12提问于2022-11-10得票数 0
1回答
与JWT认证第三方的索赔
、、、
我们设计了一个工作流,以使第三方系统(1)能够使用我们的系统(2)而不需要额外的身份验证,如下所示:
以下是描述:
第三方客户端应用程序(web)希望启动我们的应用程序。它向自己的后端请求一个令牌。
第三方后端生成具有随机令牌值的JWT,该值与当前用户相关联。
第三方后端通过特定的API将JWT发送到我们的系统。
注册后,JWT将被发送回第三方客户端应用程序(web)。
第三方应用程序启动我们的客户端应用程序(web),传递JWT。
我们的应用程序通过使用注册的JWT调用后端API
问题如下:
如果此工作流有效/正常
在JWT中对user_em
浏览 0提问于2020-01-15得票数 2
回答已采纳
我有许多应用程序使用SpringBoot管理客户端向SpringBoot管理应用程序报告。我们最近正在建设的一个项目是使用自定义的JWT/刷新令牌身份验证流,我希望SpringBoot管理员在访问执行器端点之前使用它,这样我也可以保护这些端点。 该流的工作方式是将凭据发送到/v1/auth/login,这将为用户提供一个具有到期日和刷新令牌的JWT令牌。JWT只在短时间内有效,之后需要刷新,并作为持有者-令牌与请求一起提交。 我发现这个this thread有点相关,但我需要能够看到它试图访问哪个端点,因为并不是所有的应用程序都使用相同的身份验证。 有没有什么方法可以将它配置为在给定与特定模
浏览 12提问于2021-05-06得票数 0
回答已采纳
我使用角5.0.0 + rxjs ^5.5.2
当我使用这个命令:ng serve --aot=false时,我的应用程序是可以的,但是当我使用这个命令:ng serve --aot时,我有这样的错误:
core.js:1350 ERROR Error: Uncaught (in promise): TypeError: Cannot read property 'subscribe' of undefined
TypeError: Cannot read property 'subscribe' of undefined
我没有别的乱七八糟的。我无法复制/粘贴
浏览 0提问于2017-11-13得票数 0
回答已采纳
问题:我的java springboot引导应用程序从外部系统接收JWT令牌,以使用其外部身份管理提供程序对用户进行身份验证,该提供者在成功时返回用户详细信息。一旦收到用户详细信息,后端应用程序必须为外部系统最终用户创建重定向url。重定向url将使用户在我的角度应用程序上显示着陆页面。在这里,应该允许所有rest通过http会话。如果用户试图直接访问rest,他应该得到一个身份验证错误。
在这种情况下,我们如何实现授权,因为我的spring引导应用程序没有完成身份验证。我们可以使用Spring安全创建自定义的spring会话并手动将userDetails放入SecurityContext吗?
浏览 3提问于2021-04-28得票数 0
2回答
伪造有效的JWT令牌
、、、
成功登录后,我的节点应用程序返回一个JWT令牌。
JWT使用用户ID、过期日期和机密进行签名。
下面是如何使用id: 1为用户生成令牌:
return jwt.sign({
_id: 1,
exp: exp_date),
}, "MY_SECRET");
};
因为我的后端应用程序从它的令牌中标识用户:
使用"id:1“的用户是否可以编辑他的有效令牌,用"id:2”设置它,然后在后端应用程序中开始使用"id:2“作为用户?
浏览 3提问于2016-10-01得票数 0
回答已采纳
我们已经为我们的API开发实现了微服务架构,我正在使用API保护伞作为所有微服务的网关。微服务中的所有api都使用JWT令牌身份验证机制进行身份验证和授权。而且我不确定如何通过API保护伞网关将JWT令牌传递到后端API。这里的任何帮助都是非常感谢的。
根据上面的文档,我无法找到将JWT令牌传递到后端api的方法。
浏览 0提问于2019-08-13得票数 2
1回答
使用带有第三方JWT令牌的防火墙
、、、、
我想使用第三方JWT令牌(从我当前的auth系统中),根据这个JWT令牌生成一个自定义的firebase令牌,并使用它访问消防站数据库。
我的概念如下:
应用程序在启动时连接到第三方后端,使用电子邮件/密码进行身份验证,->接收JWT令牌。
应用程序用这个第三方令牌调用自己的firebase函数。
函数使用第三方后端的公钥验证令牌。
返回由admin-sdk创建的新的自定义防火墙令牌。
应用程序用这个新的自定义令牌连接到火基。
我想更好的方法是从第三方后端(使用admin-sdk生成)发出一个(第二个)令牌,但是我没有真正的访问这个第三方后端的权限。
这对我来
浏览 6提问于2022-03-21得票数 2
回答已采纳
1回答
角型标变量范围
、、
我的身材是全新的。我正在尝试创建一个向后端发送post请求的auth保护程序,并验证JWT。如果JWT是有效的,保护应该允许访问所请求的组件。这就是我的auth.guard.ts的样子:
canActivate(
route: ActivatedRouteSnapshot,
state: RouterStateSnapshot): Observable<boolean | UrlTree> | Promise<boolean | UrlTree> | boolean | UrlTree {
if (this.loginService
浏览 3提问于2021-07-14得票数 2
回答已采纳
2回答
有一个带有一个端点"GET /hello"的简单web服务。
最好是以声明的方式在控制器中描述一个JWT,以便从该控制器中提取一些有关发出请求的授权用户的数据。
在探讨一些关于Github的开源项目时,我发现@AuthenticationPrincipal注释在某种程度上涉及到了这个过程。但是,我找到的任何教程都没有提到这样一种声明性方法--它们大多展示了如何创建JWT,而不是如何处理JWT。
如果你能指出我遗漏的值得注意的例子,我将不胜感激。
显然,这个问题微不足道,并且与Security的基本功能有关,但我不能把这个难题放在一起。
请帮助我找到一种正确(自然)的方法,将JW
浏览 2提问于2021-01-24得票数 1
回答已采纳
我使用Nextjs主要用于我的前端,使用Java springboot引导我的后端。但是,我想使用nextjs中间件来通过JWT保护我的路由。由于jsonwebtoken不能在边缘函数上运行,所以我使用的是jose。
在尝试从cookie中获取JWT之后,我尝试验证它并获得以下消息:
JWSSignatureVerificationFailed:签名验证失败
这里是我的令牌在春季后端的签名:
public static String generateJwtToken(AppUser user) {
Map<String, Object> claims = new H
浏览 7提问于2022-10-22得票数 0
回答已采纳
1回答
我正在创建一个使用JWT的web服务。为此,我使用django-rest框架-jwt。我希望我的用户可以使用他们的ldap帐户进行身份验证。我发现有一个Django身份验证后端,它可以针对LDAP服务进行身份验证。在django-rest框架-jwt中执行身份验证的函数编码如下:
def authenticate_credentials(self, payload):
try:
user_id = payload.get('user_id')
if user_id:
user = User.objects.get
浏览 1提问于2014-06-08得票数 4
回答已采纳
我将我的申请分为两部分:
前端: Vue js,连接AWS congnito进行登录功能(电子邮件/pw或google社交登录)。
后端:弹簧启动Restful。存储在数据库中的用户信息(作为主键来自congnito的唯一id )。
我的认证流程
用户重定向到congnito和登录。congnito将返回一个唯一的id和JWT。
前端将唯一的id和JWT传递给后端控制器。
后端验证JWT并从DB返回用户信息
我的问题是:
这是在前端进行身份验证并将数据传递给后端以实现春安全性的不良做法吗?如果是的话,我是否可以建议改变我的实现流程?
要调用Authe
浏览 5提问于2020-03-24得票数 1
回答已采纳
1回答
我实现了一个Spring后端,它负责存储不同的数据(用户、讲座、.)。这个后端使用JWT进行保护,一切都很正常。对于我的学习,我想增强后端,现在我想使用一个微服务体系结构,而不是一个单一的。为此,我有使用Docker和Kubernetes的要求。当我想在微服务体系结构中使用JWT时,我总是读到这样的文章:我需要一个授权服务器和一个重新源服务器。对吗?我是否需要一个网关(如Zuul)来达到我的目的?有人能帮我构建这个项目并给出技术栈的建议吗?最后,整个项目将在一台服务器中运行。
我用JWT实现了一个molotithical后端。
浏览 0提问于2019-04-02得票数 0
回答已采纳
1回答
我正在构建一个基于JWT的身份验证的AngularJS站点。当我成功登录到应用程序时,后端将返回一个JWT,并将其存储在localStorage中。
我希望在JWT声明中接收用户的角色,但是我从本地存储读取令牌,因此可以简单地修改它(例如:使用chrome工具),恶意用户可以在JWT中放置假角色。
如何使用公钥在客户端验证令牌?我让NodeJS服务器使用它们对应的私钥使用jwt-simple生成令牌。
提前感谢!
浏览 4提问于2015-04-23得票数 0
回答已采纳
1回答
我想在我的角度前端和我的SpringBoot后端之间设置一个身份验证。我有一个SpringBoot身份验证服务器,它配置了SpringBoot和functional。前端可以对Keycloak进行身份验证,并可以访问SpringBoot API。
问题是,我想知道如何知道用户是登录还是不显示登录按钮。
第二件事是,根据用户的角色,我希望一些页面被显示,而另一些则不显示。
作为奖励如果你知道..。我想根据用户的角色显示DOM的某些部分。
(这是我第一次建立这个系统.谢谢帮助)没有问题的关键斗篷和弹簧方面,连接是好的,并重定向到角OK也。持票人保存好了
app.component.ts
impor
浏览 0提问于2020-11-22得票数 0
我需要创建一个轮廓的基本应用程序。我需要做的是:
使用GoogleGenerate JWT 登录使用JWT与后端通信
我真的不知道这个流程应该是什么样子。我的想法是:
silhouette)retrieve 使用与Google一起登录的生成Google 在后端使用此令牌生成JWT (在中使用
这种流动会起作用吗?有什么更简单/更好的方法吗?
浏览 4提问于2020-06-06得票数 0
回答已采纳
1回答
我正在使用JWT对后端api的请求进行身份验证,但它导致了意外错误。
const generateJwt = function(rows) {
var expiry = new Date();
expiry.setDate(expiry.getDate() + 7);
return jwt.sign({
_id: 1,
email: rows.email,
name: rows.username,
exp: parseInt(expiry.getTime() / 1000),
}, "MY_SECRET"); // DO NOT KEEP YO
浏览 0提问于2017-07-05得票数 0
我目前正在做一个小项目。我使用flutter作为前端,springboot作为后端。我希望springboot应用程序在本地的raspberry pi上运行。
现在我想知道,是否有可能在springboot中实现类似于firebase (电子邮件/密码)的身份验证/授权(不使用firebase或任何其他基于云的解决方案),这样你就不必每次打开应用程序时都登录。
或者你可以把它比作facebook,instagram,snapchat,...在所有这些应用程序中,您始终保持登录状态。
在springboot中有哪些可能的方法来实现这一点?
我的意思是,我可以将登录凭证存储在手机上,但我猜这不安全
浏览 2提问于2021-09-29得票数 0
1回答
wp_nonce对jwt
、、、
最近,我将jwt身份验证添加到我的网站中,因为我的站点前端与后端完全分离。我没有想到的是,我可以使用wp_nonce而不是jwt --在后端创建nonce,将其存储在前端,并将其与每个请求一起发送到过期为止。
wp现在的方法与jwt方法有什么缺点?
此外,非are被用来保护wordpress从csrf例如。除了正确设置cors规则(只允许前端域)之外,还有其他方法从csrf保护rest吗?
浏览 0提问于2021-01-28得票数 0
目前,我正在做一个项目,需要合并他们的后端和前端。后端用jwt认证机制用asp.net MVC5编写,前端用angular 4编写,用jwt机制。
我的问题是,我需要从前端获得身份验证,前端是角度的,可以转到项目的旧部分,这是用asp.net MVC5和剃刀视图编写的。
浏览 0提问于2017-07-02得票数 0
我希望使用Node.js作为后端,并以颤振作为前端对用户进行身份验证。我不知道哪个更适合使用会话和cookie,或者使用JWT。
如果我使用cookie或JWT,如何将cookie保存在颤振应用程序中?
请帮帮我?
浏览 1提问于2020-10-20得票数 0
1回答
我的SpringBoot应用对所有失败的请求都返回401未授权的请求。 SecurityConfig: //JWT
http.cors().and().csrf().disable()
.authorizeRequests()
.antMatchers("/admin").hasRole("ADMIN")
.antMatchers("/usr/adm/**").hasRole("ADMIN")
浏览 19提问于2021-03-25得票数 0
回答已采纳
如何让用户注册到AWSCognitoIdentityUserPool并取回JWT令牌?
我从Facebook注册中得到了facebook token。那么我如何根据该令牌将用户池中的用户注册到?
我需要在那之后得到JWT令牌的响应,以便在我自己的后端使用它们。
已经挣扎了一个星期了..
浏览 5提问于2019-02-01得票数 0
我正在尝试使用keycloak来实现我的spring引导应用程序的身份验证系统,使用密码授予流,它工作得很好,在大多数情况下,有一点我不明白。
(我将引用sample的示例源,因为我是通过他们的指南来学习的。)
在本指南中:
它说要在我的application.properties上设置以下配置:
# application configuration
server:
port: 9000
# keycloak configuration
keycloak:
# name of the created realm
realm: jcgassignment
# name of t
浏览 7提问于2022-02-14得票数 1
回答已采纳
2回答
早上好;
我有一个关于JWT和Angular的问题。
我希望在我的前端应用程序(用angular开发)和我的后端服务之间的所有事务都使用jwt来确保数据完整性。
那么angular应用程序如何检查和验证jwt消息呢?我知道应用程序必须使用密钥来验证jwt数据,但问题是我应该在angular应用程序中将密钥保存在哪里?或者我必须假设jwt在所有情况下都是有效的?
诚恳地
浏览 0提问于2018-01-18得票数 5
1回答
我已经决定跳上带宽,开始使用OAuth 2.0和OpenID连接来验证和授权我的下一个项目,但是我很难理解一个JWT如何是安全的。
我使用角8作为前端,node.js后端和Auth0作为我的身份服务提供者(我知道错误的术语)。(忘记了。)
我已经看过两到三个关于这些主题的PluralSight课程,但是没有一个真正在node.js后端使用JWT,它们主要集中在.NET堆栈上,我想这会耗费大量的精力。
我的问题是:如何确保发送给我的API的JWT令牌来自Auth0?我知道这个令牌有一个签名,我猜想Auth0有一些用于签署JWT的私人秘密,但是如何防止某些恶意实体创建一个具有完全相同内容的JWT,
浏览 1提问于2019-06-23得票数 0
回答已采纳
1回答
我有一个棱角的前端和一个restful后端,并且我试图只允许通过身份验证的用户向后端发送请求。
为此,我跟随了
不幸的是,他依赖angular2-jwt库,这个库似乎与Angular6不兼容.
如何重新编写以下代码以在Angular6中工作:
...
import { provideAuth } from 'angular2-jwt';
...
@NgModule({
...
imports: [
...
],
providers: [
...,
provideAuth({
globalHeaders: [{'C
浏览 0提问于2018-09-25得票数 0
回答已采纳
看起来CAS可以在登录后发出JWT令牌:。
关于这个功能,我有两个问题:
是否可以为JWT令牌配置活动时间(到期)?
是否可以在后端刷新这些令牌(使用刷新令牌)?
浏览 4提问于2017-09-07得票数 0
回答已采纳
1回答
我想使用OAuth JWT令牌进行授权。由于某些原因(osgi容器),我不能使用spring安全性。
在spring-oauth-security的自述中,我找到了一句名言:
存储区的JSON令牌(JWT)版本将有关授权的所有数据编码到令牌本身(因此根本没有后端存储,这是一个显著的优势)。
我绝对不明白“根本就没有后端商店”。在jwt中有两个例子:
对称密钥或共享密钥(HMAC);
验证器密钥是一个共享的秘密,可通过/token_key网址获得。问题1:我应该为每个注册用户在服务器上存储共享秘密。为什么“根本没有后端商店”?
非对称密钥(RS/ES);
/token_
浏览 1提问于2015-03-27得票数 0
回答已采纳
1回答
在应用程序启动时缓存公钥
、、、
我正在使用下面的java库来验证JWT令牌。创建Bean来缓存公钥。但是我意识到(基于验证JWT令牌所用的时间),只有当我们从AccessTokenVerifier类调用解码函数时,公钥才会被缓存。这是很昂贵的,因为我们在多个荚中运行springboot应用程序,并且这个解码方法只能在我们拥有令牌之后才能调用。
这意味着,如果我们的应用程序在‘n’荚中运行,对于n个业务api调用,OKTA内部调用公钥端点来缓存公钥。
当应用程序启动时间本身时,有任何方法可以缓存公钥吗?
浏览 7提问于2022-06-27得票数 0
3回答
如果后端web服务驻留在单独的服务器上,并且需要确保给定的请求通过APIM网关身份验证和授权机制,那么验证JWT是否由特定API Manager实例发出的推荐方法是什么?
我知道JWT中的头部字段包括一个'x5t‘字段,它是对租户密钥存储中证书的编码引用,如下所示:
由于后端web服务位于单独的服务器上,我们是否需要以某种方式将公钥分发给它?另外,我们如何更新用于对JWT进行签名的证书,因为现在它使用的是默认证书?
浏览 4提问于2014-03-14得票数 6
我是非常新的反应和分离的前端/后端开发(以前我的应用程序都是耦合在一起,如ASP.NET网站)。最近,我正在构建一个纯粹的React作为我的前端,.NET核心作为我的后端,ADFS4.0作为我的intranet auth服务器,我的用户角色被安全地存储在OracleDB中。
我现在的设计如下:
1) React应用程序将通过用户声明从ADFS获取访问令牌(使用react-adal)。
2) React应用程序将使用Bearer令牌调用我的核心后端;后端将处理JWT并检查ADFS
3)在经过身份验证后,用户角色将从数据库中检索。
4)角色将作为JWT或用户对象返回以响应应用程序
问题:
1)我是
浏览 2提问于2020-03-10得票数 0
1回答
因此,在我们的项目中,我负责UI部分,它位于角8中,后端是使用JAVA开发的。两者都将部署在同一个windows服务器上。目前,我们正在使用基本的身份验证来验证用户和访问不同的REST URL。我对此并不熟悉,所以我对JWT令牌没有太多的了解。那么,谁能解释使用基本身份验证和JWT令牌之间的区别呢?当后端和前端都部署在同一台服务器上时,我们是否需要JWT令牌呢?
在当前项目中使用basic auth进行用户验证的示例代码。
LoginAuthorisation(logindata: LoginData) {
let authrizationdata = logindata.inputE
浏览 2提问于2020-11-04得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
