我们的系统架构就像管理员可以在用户级别上分配权限一样。我们使用JWT令牌进行授权,之前我们使用角色,角色被添加到服务器端的有效负载中,我们在不访问数据库的情况下检查该角色并相应地允许/不允许。但是,当我们在JWT令牌中添加权限时,它的有效负载太重,会影响网络流量。所以我的问题是,在<
浏览 123提问于2021-10-08得票数 0
回答已采纳
快速问题--使用twitter的oauth,我得到了一个验证用户的oauth_token和oauth_token_secret。我知道为了安全起见,我可以将其存储在数据库中,但简单地将它们放在加密的jwt (jwe)中是不是一个坏主意?
谢谢
浏览 0提问于2016-02-25得票数 0
1回答
我在flutter web应用程序中从我的express后端收到一个JWT令牌。但是为了下次不让用户再次登录,我需要持久化这个令牌。正如我已经读到的,不建议将这些令牌存储在localStorage中,而且来自安卓的secureStorage不适用于网络。 那么这样做的最佳实践是什么呢?
浏览 21提问于2020-04-12得票数 1
1回答
在HttpSession中存储jwt令牌安全吗?如果不是,那么存储jwt令牌的最佳实践是什么。因此,它可以用于客户端的进一步使用。
浏览 6提问于2022-08-15得票数 0
2回答
我正在开发一个使用vue.js和vuex的应用程序,它使用JWT令牌向JSON API服务器进行身份验证。所以我想知道存储JWT令牌的最佳实践是什么?如果我将它存储在vuex商店,它在页面刷新后丢失,因此用户需要重新登录,这不是很方便。
如果我将它存储在浏览器的本地存储中,那
浏览 2提问于2018-11-23得票数 3
1回答
存储JWT客户端凭据授予的位置
、、、、
我有一个通过客户端凭据授予对Auth进行身份验证的NodeJS快捷应用程序。我收到的令牌用于从API加载数据。
在整个应用程序中存储令牌的最佳实践是什么?注意,JWT不是特定于用户的,因为我的Express应用程序是客户端。
浏览 8提问于2017-12-11得票数 6
回答已采纳
我正在制作我的第一个API,我对jwt令牌感到有点困惑。问题是,当用户登录应用程序时,我检查数据库中的数据,如果一切正常,我会将用户的jwt令牌发送回去,这样他们就可以访问自己的个人信息,而不需要每次都发送电子邮件和密码。但是我如何知道用户是否发回了令牌,是不是我发送给他们的令牌呢?当我将令牌发送给用户
浏览 7提问于2021-04-28得票数 0
回答已采纳
1回答
我在一家支持许多应用程序的公司工作,但为了方便用户使用OAuth OIDC单点登录(IdentityServer4),他们可以一次登录并访问我们的许多应用程序。使用返回的JWT/Access令牌配置对此OAuth的授权没有问题。
但是,由于我们的支持量太大,我们被告知要在应用程序级别处理角色和用户权限。这里是我寻求反馈的地方。我目前正在.Net Core 6中</
浏览 6提问于2022-06-28得票数 0
1回答
我有一个带有许多控制器的web api。有了这些控制器,我定义了很多角色,并装饰了控制器/函数。为了访问api,我使用了jwt。 我尝试将我的角色写入jwt like键值中。这可以很好地工作,但是如果我在jwt中设置了许多角色,那么令牌就会变得非常大。我在网上搜索了一些解决方案,比如中间件,每次请求被触发时,我都会为用户获取角色。我发现的第二个解决方案是为角色创建枚举,并且不将名称保存在<
浏览 75提问于2019-07-02得票数 0
回答已采纳
1回答
在我开发的其他经过身份验证的应用程序中,我在用户登录时生成了一个jsonwebtoken,然后在每个后端路由中传递并验证了该令牌,这是否也是针对AD进行身份验证的一个好主意?编辑:问题的第二部分衍生到单独的线程:
另外,我还有一个更普遍的问题,那就是验证令牌的最佳实践是什么。到目前为止,我最大的</em
浏览 4提问于2015-05-27得票数 12
回答已采纳
2回答
我有一个JWT2.1.4.RELEASEAPI Web服务应用程序,使用Spring Initializer、嵌入式Tomcat、百里叶模板引擎,并将其打包为可执行的JAR文件,它使用由SpringBoot保护的第三方REST API,因此我需要在WebApp中存储纯用户名和密码来验证RESTful,我想知道保留凭据的最佳实践是什么
1)在HttpSession对象中?2)在数据库
浏览 40提问于2019-04-12得票数 2
回答已采纳
1回答
在服务器上刷新后刷新令牌本地存储
、、、、
jwt令牌过期后如何处理?我真的需要知道在本地存储中处理令牌的最好方法是什么,在我的服务器上,如果标头上的令牌过期了,我会刷新它,并且本地存储中的令牌在从服务器刷新后不会更新,我可以认为每个响应都在刷新令牌之后,我会在每个响应上设置令牌,然后将其设置为本地存储</em
浏览 3提问于2019-09-22得票数 0
我正在开发一个演示WebApp,使用MERN堆栈,并使用JWT进行身份验证。在后端,当用户请求登录时,我正在准备一个JWT令牌,方法是在令牌的有效负载中为该用户添加MongoDB ObjectID,并使用必要的时间戳。
在用户登录时,我希望将该会话的用户详细信息存储在前端。我知道我可以通过API响应共享所有这些细节&使用React上下文&
浏览 2提问于2021-09-02得票数 0
回答已采纳
我有一个web服务,它使用了基于JWT的身份验证。在一些示例中,我看到权限被添加到索赔标识中,然后在AuthorizationHandler中进行查询。
这也是生产级解决方案的方向吗?由于权限是在JWT令牌中编码的,所以我关注拥有一个非常大的JWT令牌对性能的影响。考虑到<e
浏览 2提问于2021-07-21得票数 0
回答已采纳
我构建了一个Rest,它通过使用JWT和刷新令牌来处理请求。但我不知道如何在客户端存储它。我非常关心在客户端处理这些令牌的最佳<
浏览 6提问于2020-07-15得票数 2
回答已采纳
1回答
我使用JWT作为我的Node+Express API的路由保护;我通常将用户的配置文件信息存储在jwt令牌中,除非是粒状的PII。但我想知道的最佳实践是什么。I有以下用户模式(猫鼬): _id: ObjectID, img: string,
email:
浏览 2提问于2020-07-19得票数 7
回答已采纳
我正在编写一个react应用程序,并使用localStorage (目前)来存储JWT。 dispatch(setTokenInStore(token))
})
浏览 1提问于2021-02-26得票数 1
我已经设置了中间件来验证和提取来自JWT令牌的声明(使用https://github.com/golang-jwt/jwt)。我现在的问题是,我想以某种方式将这些信息传递给路由处理器函数,以便它可以检查存储在令牌中的权限。我正在努力寻找关于这方面的好资源,但我看到了两个建议,一个是使用REDIS来存储经过验证的</e
浏览 21提问于2021-11-11得票数 0
回答已采纳
当使用JWT进行身份验证时,自定义作用域(权限/声明)应该放在访问令牌中还是id令牌中?我看到了两种方式,但不确定什么是最佳实践。
浏览 13提问于2020-01-15得票数 0
回答已采纳
2回答
在我们的设计选择中,我们决定让OAuth2提供者处理登录安全性;但是,我不确定访问令牌的最佳实践是什么,这是我从OAuth2提供者那里获得的。情况是,当用户登录时,我会从OAuth2提供程序获得一个访问令牌。每次移动应用程序向我的后端发出请求时,我都需要使用这个令牌,这样我就可以针对OAuth2提供者验证令牌是否仍然有效。我知道我将创建一个<em
浏览 0提问于2016-02-10得票数 20
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
