我正在从MVC转移到SPA +API-在一个新的应用程序的方法,我正在做,并面临一些问题,我似乎找不到答案。
我在.Net核心2中有一个Web,它使用标识作为它的用户存储。我通过向控制器发出JWT-令牌来保护API,我的SPA将其作为承载令牌发送给控制器。当我得到JWT-令牌时,我得到了用户信息,但是关于用户的扩展信息,比如他们为哪家公司工作,都在我的SQL-数据库中</e
浏览 6提问于2017-12-21得票数 8
以前,我在我的IS4 Config.cs文件中为访问令牌添加了"Name“声明,如下所示:{{};
我之所以这样做,是因为它提供了一种直接的方法来
浏览 1提问于2017-05-29得票数 1
2回答
.net核心API中的混合认证
、、、、
我有一个身份验证服务,它检查用户链接到哪个租户,然后检查用户的用户名:密码是否有效,如果有效,它将一个JWT令牌返回给网关API/web,然后允许访问集群上的其余服务。通过限制操作和数据访问等角色,这进一步得到了保护。
问题1,,如果租户使用azure,那么保存应用程序id和机密的安全方法是什么?在我的数据库中,为了连接到AD(试图保持动态),必须对信息进行解密。问题2--我正在实现自己的
浏览 4提问于2020-02-27得票数 3
回答已采纳
GetBytes(key));var jwt_token= new JwtSecurityTokenHandler().ReadJwtToken(token);上面的代码正在从令牌中读取我的索赔数据</
浏览 20提问于2021-05-26得票数 0
回答已采纳
1回答
Web API颁发的访问令牌的默认格式是什么?我正在开发具有个人用户帐户(用于身份验证)的ASP.NET Web API的标准模板。根据我的理解,该格式不是JWT令牌格式;但是令牌的格式是什么呢?另外,根据我的理解,令牌包含与索赔相关的信息,如果我错了,请纠正我。虽然我使用Web API已经有一段时间了,但出于好奇心我还是问了这个问题。
任何正确
浏览 1提问于2021-10-03得票数 0
我的解决方案中有两个主要项目,一个是.NET 5CoreMVCWeb应用程序,用作我们的前端应用程序,使用身份进行身份验证和授权,它目前直接连接到一个数据库层(不同的项目),该数据库层使用实体框架负责CRUD另一个项目是一个.NET 5 Web API应用程序。我们希望将控制器的逻辑从MVC应用程序移动到Web API应用程序,以便只有API项目可以访问数据库层。如何将身份授权转移到Web<
浏览 3提问于2021-10-16得票数 0
.NET5有大量用于身份验证的中间件和基础设施。您可以包含一些NuGet包,在Startup.cs中连接一些配置,您的应用程序可以理解cookies和会话。我在网上找到的用于基于JWT的身份验证的所有示例都让我手动实例化一个JwtSecurityDescriptor并在其中设置属性。前面的每一个示例都手动创建JWT,但将大量解释委托给中间件。
为了澄清,我不需要关于如何验证密码的指导(我使用IPasswordHasher)或定位用户(我使用IUserPasswordStore)。我特别想
浏览 6提问于2021-08-23得票数 0
1回答
我们有一个ASP.NET核心Web,我想用来保护它。图形标记是有效的,我可以进行图形调用,它可以很好地工作。但是,如果我尝试访问使用JWT身份验证配置的ASP.NET Core,则会出现以下错误。下面是如何配置身份验证。ValidateAudience = false // This is for testing });
同样的配置也适用于Azure AD访问令牌
浏览 1提问于2019-04-02得票数 3
回答已采纳
我们已经有一个现有的ASP.NET MVC 5站点,具有自定义表单身份验证、登录、注册等功能,并且已经实现了角色和配置文件的自定义数据库。我们现在正在向MVC站点添加一些新功能,我们决定使用Web 2 OData 3端点,它位于另一个域中。Web目前不包括任何身份验证,但我们需要能够将请求映射到某个用户,以便从后端获取他的角色等。MVC和API站点使用相同的后端。
我们想要完成的是,当用户登录MVC站点时,MVC站点使用用户的凭据调用Web A
浏览 0提问于2013-12-05得票数 2
回答已采纳
在OpenId连接内嵌流中,在授权服务器对用户进行身份验证并授予客户端对所请求的声明的访问权限之后,将向客户端返回一个Id令牌。稍后,客户端可以将访问令牌交给API,API反过来可以从U
浏览 0提问于2015-06-15得票数 4
3回答
撇开不说,我想知道JWT在客户机/服务器通信中适合什么地方?
当连接为HTTPS/SSL时,服务器与服务器之间的通信是必要的还是良好的实践?
浏览 7提问于2015-07-28得票数 17
回答已采纳
2回答
JWT对我合适吗?
、、、
我已经对使用我的前端应用程序访问我的REST的许多不同的身份验证和授权用户进行了大量的研究。我已经构建了一个使用OAuth2和JWT的系统,并且需要进行一次是否正确的检查,因为我只是在处理这个问题。现在,当用户向我的前端客户端提供电子邮件和密码时,OAuth2 (我的授权服务器)使用ROPC为用户提供一个JWT令牌。我应该注意,我的API (我的资源服务器)和授权服务器在同一台机器上。其想法是当用户注册或登录时,我的授权服务器将从数据
浏览 7提问于2020-06-12得票数 1
1回答
我目前正在开发一个解决方案,以便在JWT令牌中添加自定义声明。Azure B2C有一个包含多个索赔提供程序的自定义策略。用于Azure AD的索赔提供程序配置为标准索赔和我的自定义索赔。A索赔提供程序用于调用REST。REST集合被配置为从图形API收集自定义属性,它被配置为使用输入声明“email”查找与用户登录相关的数据,并使用我的自定义声明的名称查找“输出”声明。在用户SignU
浏览 1提问于2020-03-16得票数 1
回答已采纳
我有一个web服务,它使用了基于JWT的身份验证。在一些示例中,我看到权限被添加到索赔标识中,然后在AuthorizationHandler中进行查询。
这也是生产级解决方案的方向吗?由于权限是在JWT令牌中编码的,所以我关注拥有一个非常大的JWT令牌对性能的影响。考虑到在某个时候,您可能会得到1mb+和更高版本的JWT
浏览 2提问于2021-07-21得票数 0
回答已采纳
2回答
基于令牌的REST身份验证
、、、、
我有一个由轻量级Node.js API支持的移动应用程序。最近,我已经开始探索集成使用基于令牌的身份验证的第三方API服务。这个API是专门从我的服务器端Node.js代码中调用的,因为直接从我的移动应用程序调用它会暴露我的敏感用户名/密码信息。其他只能称为服务器端(例如,Stripe)的类似API需要使用每个请求都传入的秘密密钥进行身份验证。这种方法对我来说更有意义,因为您并没有真正想到服务器“登录”到另
浏览 2提问于2016-12-09得票数 1
回答已采纳
我读过关于身份验证的文章,并且对类型分类感到困惑。会话id,所以它变成了基于会话的身份验证?
声明,所以它应该被称为基于索赔的身份验证吗?我发现有些人甚至在cookie中存储JWT令牌<
浏览 0提问于2017-06-03得票数 34
回答已采纳
1回答
我想使用JWTCore3.1Web应用程序来允许应用程序(例如iPhone或web Javascript)使用用户名和密码进行身份验证,并接收包含用户声明的Jason Web Token (JWT)...如果成功,则可以将JWT作为持有者令牌发送到API,API将对JWT进行解码和验证(令牌将是非对称的,并使用公钥/私钥对),并检索嵌入的任何声明...如果应用程序也能解码JWT</
浏览 36提问于2020-07-12得票数 1
回答已采纳
2回答
如您所知,使用基于令牌的身份验证而不是基于会话的身份验证有一些很好的理由。
在基于会话的情况下,当然有一个到期时间。因此,如果用户有一段时间没有活动,他的会话就会过期。有一个很棒的教程关于JWT。我有一个关于令牌的到期时间的问题。假设我们将过期时间设置为100秒,然后对令牌进行签名。用户是否处于活动状态并不重要。在100秒钟后,将不再有效,。这让用户感到困扰。
浏览 3提问于2016-12-24得票数 13
回答已采纳
云服务器
对象存储
ICP备案
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号