将JWT从客户端发送到服务器
JWT(JSON Web Token)是一种用于在客户端和服务器之间传递安全信息的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
头部包含了关于令牌的元数据,例如使用的加密算法。载荷包含了实际传输的数据,例如用户的身份信息。签名用于验证令牌的完整性和真实性。
JWT的优势在于它的轻量、可扩展和无状态性。由于令牌本身包含了所有必要的信息,服务器不需要在自己的存储中保存会话信息,这使得JWT非常适合于分布式系统和微服务架构。
JWT的应用场景非常广泛,包括但不限于用户认证和授权、单点登录、API安全等。在用户认证和授权方面,JWT可以用于验证用户的身份并授予访问权限。在单点登录方面,JWT可以用于在多个应用之间共享用户的身份信息,实现无缝登录体验。在API安全方面,JWT可以用于验证API请求的合法性,防止未经授权的访问。
腾讯云提供了一系列与JWT相关的产品和服务,包括但不限于:
- 腾讯云API网关:提供了全面的API管理和安全控制功能,可以轻松集成JWT验证机制,保护API免受未经授权的访问。
- 腾讯云身份认证服务(CAM):提供了身份认证和访问控制的解决方案,可以与JWT集成,实现用户身份验证和授权管理。
- 腾讯云Serverless云函数(SCF):提供了无服务器的计算服务,可以使用JWT来保护云函数的访问权限,确保只有经过身份验证的用户可以调用函数。
- 腾讯云COS对象存储:可以将JWT令牌存储在COS中,实现安全的令牌管理和分发。
更多关于腾讯云的产品和服务信息,请访问腾讯云官方网站:https://cloud.tencent.com/
相关·内容
2回答
如下面的幻灯片所述,客户端必须在下一个请求时通过一个jwt将Authorization Header发送回服务器。
但是,如何定义Authorization Header并将JWT添加到服务器?
我目前的状况是:
用户通过一个username请求将password和POST发送到服务器。
服务器创建JWT。
服务器将签名的JWT发送回客户端,并将其保存在cookie中。
现在我的问题是:
在登录的情况下:
据我所知,现在有必要将JWT发送回服务器。服务器验证令牌并将其发送回完成登录过程。
如何将JWT添加到Authorization Header
在运行进
浏览 6提问于2017-01-04得票数 14
回答已采纳
1回答
我有快速应用程序,在端口8000上运行,我也在端口3000上有react。我正在尝试实现google oauth。 这就是我所做的。 我尝试向我的api端点发送get请求,然后我的express服务器将用户重定向到google登录。 ? 然后,如何通过get请求将令牌从服务器发送到客户端?这是我的快速代码。我尝试直接从服务器发送cookie,但是我不知道为什么cookies在我的react应用程序的3000端口上不可用。有没有什么简单的方法可以把jwt发送到客户端? router.get(
"/google/callback",
passport.authen
浏览 16提问于2021-05-11得票数 0
本地客户端的重定向URI是否意味着本地客户端将被发送到azure b2c的哪个端点以从azure b2c获取jwt?
web app的重定向url是否意味着浏览器将被发送到我的webapp的哪个端点?DoesThe azure b2c会给web浏览器一个jwt,然后将web浏览器重定向到我的webapp服务器的重定向url,然后web浏览器会把jwt发送到我的webapp上进行识别,我的理解对吗?我不确定我的理解是否正确,我认为,如果jwt通过azure b2c发送到服务器端而不是发送到浏览器,服务器将无法知道jwt是针对哪个浏览器客户端的,所以我认为jwt是发送到浏览器的。
webap
浏览 17提问于2019-11-17得票数 1
回答已采纳
我真的对JWT验证的细节感到困惑。我知道这必须在服务器上完成,但是JWT也是在服务器上生成/签名的。
因此,这意味着(对粗体部分感到困惑):
用户请求登录(用户/密码被发送到服务器)
服务器检查用户是否存在和正确的密码,返回签名的JWT。
客户端接收JWT,将其发送回服务器以验证?。
服务器验证JWT,然后将OK响应发回?
如果服务器是生成和签名JWT的服务器,那么为什么需要验证呢?这对我来说唯一有意义的方法是,如果你在前面核实,我知道这是一个很大的不-不。
我显然不清楚这件事。有人能帮我填补空白吗?
浏览 2提问于2020-06-17得票数 1
回答已采纳
我要求在Bigcommerce商店中为我们的客户显示一些数据。 这些数据应仅对已登录的用户可见。要在bigcommerce中显示这些数据,必须从Bigcommerce前端向我们的服务器发出Rest API调用。 我从Bigcommerce学到,我可以添加Javascript代码来获得登录用户的JWT令牌。https://developer.bigcommerce.com/api-docs/customers/current-customer-api 我可以将JWT令牌从Bigcommerce前端发送到我的服务器。 问题是从我的服务器开始,我如何确保令牌有效。 bigcommerce中是否有A
浏览 15提问于2019-01-11得票数 0
回答已采纳
我是来自前端AWS的JWT (JSON令牌),并将它们发送到我的服务器以验证请求的操作。
但是,JWT的有效负载包含来自认知的所有用户属性,如地址、电话号码等。由于所有这些数据都是而不是加密的,而且只是base64文本,所以我只想将用户名发送到服务器,仅此而已。如何防止AWS将我不希望以明文形式发送到服务器的JWT有效负载中的所有用户属性提供给我的前端。谢谢
具有所有用户属性的JWT有效负载:
浏览 6提问于2021-06-20得票数 0
回答已采纳
2回答
我有一个网络api和移动应用程序。
我正在使用Oauth (openidconnect)。当用户调用登录端点时,将触发Oauth流,这最终导致api服务器(从auth服务器)接收到jwt id令牌。
假设应用服务器(在api响应中)将jwt id令牌发送到移动应用程序,以便api保持无状态状态,随后的api请求可以将jwt id令牌传递到端点,以便api知道调用者是谁。
如何防止这个jwt从手机上被盗并被滥用?
浏览 3提问于2022-02-06得票数 0
我在没有任何数据库的情况下为我的个人使用做了一个API,我想在没有任何用户注册的情况下向该API添加令牌身份验证。我希望,可以生成一个JWT并将其发送到服务器,然后服务器可以验证JWT是否有效,然后发送一个响应,否则就会出现一个未经授权的错误。当我请求API的任何端点时,它必须检查。
提前谢谢。
浏览 3提问于2022-06-29得票数 0
1回答
我正在尝试这样做:
在客户端: 1.使用标题有效负载生成JSON令牌(JWT)。2.使用我的私钥在这个JWT上签名。我还有一个由根CA签名的证书。3.将JWT发送到服务器。
在服务器端: 1.验证接收到的JWT。2.我只能访问已签署我的证书的根CA的公钥/证书。
可以使用根CA的公钥或证书验证JWT的签名。请注意,我不想使用我的公钥来验证JWT,因为有很多客户端都有它们的私有公钥对,而且服务器不可能从客户端获取所有的公钥。我的目标是使服务器端验证使用根CA的公钥/证书来验证JWT。
这个是可能的吗?
浏览 3提问于2015-07-23得票数 4
1回答
存储json web令牌
、、、、
我正在学习reactjs,redux和json网络令牌。我对他们都是新手。
在我的示例应用程序中,用户从登录页面发送信息。如果信息为真,则创建jwt,并将其设置为状态并发送到客户端。它被设置为localStorage。当从客户端发送其他请求时,localStorage中的令牌通过redux action发送到服务器以进行验证。
我读了一些样本和教程。其中一些人在HTTP报头中发送了jwt。
我一定要把它发到头上吗?localStorage和状态是否足够?
浏览 2提问于2016-04-19得票数 3
1回答
假设您在web平台上有一个现有的用户管理/数据库。为了更快地登录和注册过程,与苹果公司的登录应该集成在一起--尽管它总是会创建一个与电子邮件地址链接的常规帐户(只是没有常规密码)。使用苹果提供的(验证的) JWT认证安全吗?
登录(现有帐户)将采取以下步骤:
用户在应用程序中点击“与苹果登录”
从Apple生成的JWT被发送到身份验证服务器
服务器使用Apple的API端点提供的公钥验证JWT
服务器从(验证的) JWT中提取电子邮件,如果存在该电子邮件的用户,则该用户将被登录(API返回会话的内部访问/刷新令牌)
浏览 2提问于2021-02-10得票数 0
回答已采纳
2回答
JSON Web令牌( JWT )是发出服务器用来标识用户、跟踪会话数据和授权请求的服务器签名对象。
JWT是由服务器签名的,这一事实保证令牌是由访问服务器的私有或共享对称密钥的人产生的,但是--有什么机制可以确保令牌被授权用户发送到服务器?
例如,假设我有一个服务器向世界发出一个JWT。无论我是否通过安全连接传输该令牌,因为客户端可以保存、解密和重新传输数据,因此似乎可以放心地假设,一旦一个客户端拥有web令牌,每个人都拥有该web令牌。
那么,我如何确保在我的服务器上,通过有线进入的令牌实际上是来自授权方的?
浏览 0提问于2015-09-01得票数 3
回答已采纳
我正在JWT (JSON Web Token)方案的帮助下实现一个登录系统。基本上,在用户登录/登录之后,服务器对JWT进行签名并将其传递给客户端。
然后,客户端为每个请求返回令牌,服务器在发回响应之前验证令牌。
这几乎是你所期望的,但我对这个过程的逻辑有一些问题。从我读过的所有数学文章来看,RSA签名似乎使用非对称密钥进行签名。顾名思义,公钥向客户端公开,私钥保存在服务器上,因此使用发送到客户端的公钥对JWT进行签名并使用私钥在服务器端对其进行验证是有意义的。
然而,在我看到的每个例子和库中,似乎都是相反的。你知道为什么会这样吗?如果一个JWT是用私钥签名的,并用公钥进行了验证,那还有什么意
浏览 2提问于2016-07-26得票数 36
回答已采纳
我们正在寻找最好的方法,以确保我们的AMQP连接。我们的AMQP客户端分布在世界各地,与AMQP服务器的连接需要是安全的。我们使用TLS作为传输级别的安全性,由oasis-open.org推荐。现在寻找AMQP客户的AUTH机制。
一种方法是使用相同的TLS证书对用户进行身份验证,第二种方法是使用新的著名的JWT作为AMQP的auth机制。每当客户端发布或订阅一个AMQP队列时,它应该通过将JWT发送到服务器来获得服务器的auth。
浏览 2提问于2017-02-20得票数 0
回答已采纳
根据我的理解,JWT将由服务器在用户成功身份验证后创建。JWT将在HTTP响应中发送到客户端(用户机器)。JWT中的exp时间会修改吗?当exp时间将被修改时,是否存在由于客户端和服务器计算机之间的时区差异而导致的可能性。
浏览 0提问于2017-06-22得票数 1
回答已采纳
1回答
是否与JWT类似?
、、、、
我有一个关于烧瓶会话逻辑的问题。首先,我知道有两种存储会话数据的方法,一种是在客户端,另一种是服务器端。如我所知,烧瓶使用的是前者(客户端),其中会话被加密并存储在客户端的浏览器上。
让我们假设我们想在一个酒瓶后端登录
用户进行登录,flask生成会话,通过set-cookie客户端存储会话用户向后端发出另一个请求,并将其cookie发送到存储会话的地方,烧瓶使用会话有效时用来加密会话的密钥验证会话,烧瓶加载会话,从而意味着用户已登录到中。
据我所知,JWT的工作如下。它生成一个令牌,客户端存储该令牌,并在每个请求中将它发送到服务器,在那里对令牌进行验证。
据我所知,烧瓶和JWT都使用一个秘密
浏览 3提问于2020-07-03得票数 0
回答已采纳
2回答
我正在使用ASP.NET Core WebAPI (.NET 6.0)
我想使用谷歌在上共享的指导方针来实现谷歌认证
我对这个过程的理解是--我从我的WebAPI (VueJS)请求从谷歌获得一个JWT --将JWT发送到WebAPI以进行验证。
为了进行验证,我似乎需要按照上共享的准则编写一些代码。
然后,我使用存储在DB中的详细信息、角色信息和声明为用户创建一个新的JWT,并将其发送回客户端。
客户端将新的JWT保存到本地存储,并继续为每个新的API请求发送它。
整个过程有点像重新发明轮子,是否有一种更标准的方法来处理WebAPI部件?
浏览 1提问于2021-12-28得票数 3
1回答
我有一个简单的JavaScript游戏与服务器上的node.js。对于登录,我使用JWT令牌。一切都很顺利,但我有一个问题。
如果用户改变位置,变量x和y将被发送到API。这是可以的,但用户可以在浏览器webtools中更改数据,并使用其他值重新发送它们。当然,我在服务器端有验证,但用户可以使用它来自动更改位置,立即更改等。
我该如何保护它呢?
在标准的应用程序中,我可以从x和y+ salt生成哈希,但是如果我将salt传递给浏览器,那么用户可以获得它并生成适当的哈希。
浏览 14提问于2019-07-05得票数 1
回答已采纳
1回答
实现自定义JWT工作流
、、、、
我使用nodejs的rest和客户端应用程序都在ios和android。
通常,服务器生成或签名JWT并发送到设备。该设备将其保存在本地,并用于后续请求。
但是我计划在我的应用程序中实现一个定制的JWT场景。
计划是为设备本身中的每个请求创建一个令牌,并在服务器中验证它。
因此,当黑客窃取密钥时,他甚至不能使用它一次,因为JWT是无效的。
此外,发出令牌的客户端不能再次使用相同的令牌请求。
这是可行的还是我应该遵循JWT实现的一般标准。有专家的想法吗?
如果是,我有几个问题
1)从客户端设备中检索密钥(或其背后的逻辑)是否可行,并危及安全性。
2)服务器中的性能会下降吗?
浏览 1提问于2018-07-05得票数 0
回答已采纳
我有一个在NodeJS中构建的后端NodeJS API和一个React (NextJS)中的前端应用程序,它们都托管在NodeJS上。客户机和服务器使用JWT令牌进行通信。我想确保客户端应用程序和服务器端应用程序都是高度安全的。
我所做的:
我对客户端和服务器都使用HTTPS
白名单客户反应应用IP地址,所以只有客户反应应用程序可以与服务器应用程序。这是在AWS安全小组中完成的。
在我的服务器Node.JS应用程序中使用cors,将客户端IP地址再次白化,作为1号的补充。
使用AWS 保护后端NodeJS应用程序,
在服务器后端API中使用NodeJS
确保JWT令牌只
浏览 0提问于2020-07-03得票数 4
我看到myapp能够在服务器上正确地处理OAuth2 JWT令牌,但是它在本地主机上出现令牌转换错误。
我的流如下所示-
On Server,myapp在自定义 api-gateway后面
获取访问令牌-通过postman,我点击api网关令牌端点,然后调用authserver令牌端点。我得到了OAuth JWT令牌作为响应。
总之,邮递员
请求:-(Creds)->api-网关-(Samecreds)-> auth-server
响应: jwt令牌<-(相同jwt)-- api-网关<-(Jwt)-auth服务器
接下来,我点击了myapp 端点--再
浏览 10提问于2022-09-15得票数 0
我很难理解JWTs是如何与RSA加密一起使用的。这是我目前对RSA的理解:
-The客户端日志使用他的凭据向服务器发出post请求,如果凭据有效,则服务器使用私钥对JWT进行签名并将其发送到客户端。
-The客户端使用公钥验证来自服务器的JWT,然后存储该JWT以供将来的请求使用。
现在,客户端是否只是将此JWT附加到我对受保护路由发出的每个get/post请求的头部,以便验证用户?这不是很容易受到中间人的攻击,因为他们可以很容易地更改请求的内容,而服务器没有办法知道它已经被修改了。我应该如何散列报头+有效负载来阻止实体像HMAC那样更改数据?
浏览 0提问于2020-10-06得票数 1
上下文:
我正在尝试构建一个webapp,Nginx充当前端服务器,同时也是后端NodeJS服务器的代理。我想通过适当的认证机制限制对webapp功能部分的访问。身份验证逻辑由NodeJS服务器处理,并使用JWT来处理。
电流:
静态登录页面显示给由Nginx提供服务的用户。
用户凭据被发送到Nginx服务器,Nginx服务器被转发到处理登录逻辑的NodeJS服务器,并在成功的身份验证后发送回JWT令牌。(所有www.base url.com/api请求都被转发到NodeJS服务器)
JWT存储在客户端浏览器的localStorage中(由Auth0团队推荐),然后我想将用户重定向
浏览 2提问于2017-02-15得票数 4
回答已采纳
1回答
我有一个调用AWS函数的Next.js应用程序。通过使用JWT令牌,我想给它添加一个登录功能。我不知道该怎么做。我想发布的应用程序作为一个静态网站,所以我不想有一个快速服务器。 我已经看过很多解决方案,它们都使用服务器来处理JWT的东西。我想在AWS Lambda函数中处理所有的身份验证,然后通过JWT令牌发送到Next.js应用程序。这个是可能的吗?
浏览 22提问于2019-02-14得票数 1
2回答
如何处理反应温泉上的更新令牌?
、、、、
我有两台服务器。一个用于Hasura GraphQL api,它查询数据库并提供应用程序数据。另一个是用于身份验证的节点服务器。这两台服务器不在同一域中。
我有个反应水疗的客户。当用户登录时,节点服务器使用hasura graphql端点验证凭据,并向客户端提供一个jwt令牌和刷新令牌。刷新令牌是通过httpOnly cookie发送的,因为react客户端和节点服务器位于相同的域中。
现在,当jwt令牌过期时,我希望使用自动作为cookie发送到节点服务器的刷新令牌来静默地刷新jwt令牌。我将如何实现这一点?
我可以想到的一种方法是,在客户端对jwt进行解码,如果jwt过期,则向节点服务器上
浏览 10提问于2020-05-24得票数 1
回答已采纳
1回答
我正在测试数据从现有服务器迁移到新服务器的过程。
其中一部分是检查,以确保保存在旧服务器上的JWTs被正确地发送到新服务器。这个过程是从旧服务器获取令牌到测试服务器,然后将它们发送到新服务器以检查它们是否存在。旧服务器将unsigned JWTs发送到我的测试服务器,然后我需要对它们签名,以便对照新服务器检查它们。
为了获得这些令牌的签名,运行以下代码:
// Get the object represented by the token
this.token = jwt.decode(`${this.unsignedToken}.a`)
// Turn the object into a
浏览 0提问于2019-08-06得票数 0
回答已采纳
3回答
长篇大论,但我使用谷歌Youtube v3数据API node.js包登录用户和查看播放列表等。目前,当用户成功地登录到googles Oauth重定向流时,将调用路由服务器端,该服务器端通过url查询参数传入代码。我能够解析出来,用我的oauth2Client生成一个令牌,然后创建一个签名的jwt。现在,我将用户重定向到一个url,该url将签名的jwt作为url查询参数,然后将其解析出浏览器端,并作为令牌存储在本地存储中,这是我第一次使用与jwt相关的内容,并且希望确定我正在以安全的方式进行操作。既然如此,我不完全确定如何将令牌服务器端发送到客户端是正确的方式,也不太确定从哪里开始查找。
浏览 9提问于2019-11-10得票数 2
回答已采纳
1回答
我想知道,如果JWT应该附加到我的请求的头上,我如何使用JWT来验证我的ASP.Net核心网站的用户呢?
换句话说,在将请求发送到服务器时,如何告诉浏览器将令牌附加在标头中?假设我的网站的用户从我的网站的API中获得了这个令牌。
或者JWT仅适用于WebAPI (在这里我可以手动构建请求)?
浏览 2提问于2017-12-10得票数 0
1回答
我使用以下代码生成JWT令牌:
jwt.sign(id, TOKEN_SECRET, { expiresIn: '24h' });
生成之后,我将令牌发送到客户机,客户机将其存储在cookie中:
document.cookie = `session=${token}` + ';' + expires + ';path=/'
此外,我使用vue.js路由器进行导航。据我所知,如果在路由器文件中添加以下代码,就可以插入中间件以保护某些路由。
router.beforeEach((to, from, next) => {
if (to
浏览 2提问于2020-07-27得票数 1
回答已采纳
4回答
我目前正在致力于使用基于JSON的身份验证来实现角JS应用程序和Node.js服务器( API)之间的交互。
但我有一个问题我自己无法回答:当您编码JWT服务器端将一个用户作为有效负载时,如何继续检索用户信息客户端?这里有一个小例子来理解我的问题:
我是一个基本用户,我将我的凭证发送到API进行身份验证。作为交换,我收到了一个JWT令牌,但是我没有关于用户的任何信息,因为只有服务器拥有能够解码JWT令牌的密钥。那么,服务器是否需要向我发送用户的id,以便调用我的api user/id来检索经过身份验证的用户的信息?
浏览 1提问于2014-08-19得票数 13
回答已采纳
我有一个应用程序,它通过使用JWT身份验证。当用户登录时,响应在主体中包含jwt。然后,前端(即SPA)将该jwt存储在localStorage中,并将其附加到从那里发送的每个请求的Authorization标头。然后,服务器使用Guardian的内置验证插件进行验证:
pipeline :api do
plug :accepts, ["json"]
plug Guardian.Plug.VerifyHeader, realm: "Bearer"
end
我想要更改这一点,以便服务器将它们作为安全cookie(带有Secure和HttpOnly设置)发送
浏览 2提问于2017-03-15得票数 7
我使用的是blazor服务器(不使用webapi、httpclient和.)我想使用jwt进行身份验证。
我应该把令牌存放在哪里?localStorage还是cookie?如何将jwt发送到服务器所有的请求?我必须使用AuthenticationStateProvider吗?
我使用了httpContext,但是我得到了一个错误,除非它适合于cshtml文件,我还使用了AuthenticationStateProvider内部的本地存储,但只是得到了一个错误。
另外,哪一个更好?blazor服务器(一个项目)或带webapi的blazor服务器(两个项目,blazor server和api)
浏览 3提问于2020-01-26得票数 4
回答已采纳
3回答
我一直在我的服务器上使用Passport进行用户身份验证。当用户在本地登录时(使用用户名和密码),服务器将向他们发送一个JWT,该存储在本地存储中,并在每个需要用户身份验证的api调用中被发送回服务器。
现在我也想支持Facebook和Google登录。自从我开始使用护照,我认为最好继续使用护照策略,使用passport-facebook和passport-google-oauth.
我会提到Facebook,但这两种策略都是一样的。它们都需要重定向到服务器路由('/auth/facebook'和'/auth/facebook/callback' )。这个过程非
浏览 14提问于2017-02-28得票数 33
回答已采纳
我正在从事一个nodejs项目,并且来自PHP背景。对于前端和后端的开发以及API调用的通信,我印象非常深刻。
#问题:我需要对用户进行身份验证并存储用户的一些数据(在服务器中总是需要的),这个用户数据会导致jwt有效负载大小和jwt令牌的增加。
因此,我使用JWT令牌机制,在成功登录后生成一个令牌,并将其发送到客户端,然后客户端通过每个API调用添加该令牌作为报头,然后在服务器中验证令牌并获取解码的有效负载数据。
这就是这个过程。但是我有一些在nodejs中总是需要的用户数据,因此JWT有效负载大小增加,JWT令牌大小也很大。所以每次客户端都会发送大容量的令牌。
我在php中使用会话来维护用
浏览 1提问于2019-03-12得票数 0
1回答
我很困惑:看这个,我将解释如何理解如何使用jwt拦截器刷新令牌槽。
1)请求有一个令牌,并将其发送到服务器。
2)服务器响应,发出400次错误请求。
( 3)拦截器在第一次尝试中处理HTTP响应:向服务器调用刷新令牌。
4)刷新令牌是旧的,所以服务器,再说一次400。
现在会发生什么事?服务器会发送另一个刷新服务吗?,我如何才能走出“桶”。
// src/app/auth/jwt.interceptor.ts
// ...
import 'rxjs/add/operator/do';
export class JwtInterceptor implements HttpIn
浏览 0提问于2018-04-12得票数 0
1回答
在我的公司,我们有一个中央服务器运行IdentityServer。有许多应用程序为客户端应用程序提供了一些API。API请求由所述auth服务器发出的JWT令牌进行身份验证。为了我们的目的,它很好用。
我们有一个新的要求,基本上需要对某些行动进行二次核查。
情况如下:
用户登录到一个应用程序。
用户希望执行一个需要提升访问权限的操作,并要求他确认该操作。
用户从TOTP/SMS输入一个一次性密码
意图得到确认,API对操作做出响应。
我所想到的执行情况如下:
API获得一个请求,检查JWT amr声明,没有看到otp,返回带有WWW-Authenticate: mfa (或类似于这些代码的东
浏览 0提问于2020-09-19得票数 1
我正在与PHP和角度的项目工作。对于用户登录,我们使用JWT。我仍然不明白为什么我们应该使用JWT而不是Sessions,如果用户每次浏览一个组件时,我们都需要将令牌发送到服务器代码,以检查用户是否仍然登录。
用户名和密码将被发送到服务器代码,在那里将发生身份验证过程,然后生成令牌并将其发送回angular,然后保存在本地存储中。
关于如何正确使用JWT的任何评论。
编辑
我的问题是关于当用户浏览网站并从一个组件转到另一个组件时检查JWT的过程。
浏览 66提问于2018-05-28得票数 0
回答已采纳
有oauth2服务器和一些服务。
某些用户已在计算机上进行了%2个服务的授权,并获得%2个access_tokens。并且这个用户已经在手机上授权了一些服务,并获得了另一个access_token。
用户从所有服务从计算机上注销。注销必须使此会话(计算机)的所有access_token无效:令牌123、789。
如何正确绑定access_token和用户会话?OAuth2服务器具有web前端,并通过cookie中的JWT令牌记住用户。它是正常的绑定access_token与这个JWT令牌,当用户在oAuth2服务器上点击注销,然后获得所有的access_token,与这样的JWT令牌
浏览 0提问于2020-07-01得票数 0
2回答
当阅读有关使用JWT保护应用程序的信息时,通常会说客户机最初从服务器获得一个令牌,然后将此令牌连同每个请求一起发送到API。
一旦您有了令牌,这种方法就会很好地工作。据我所见,传输令牌的默认方法是使用HTTP报头,即使用作为值的标记前缀的身份验证。
但是--是否也有一种默认的方法来获得令牌呢?在示例中,您经常会看到这只是对和HTTP端点的简单请求,然后返回JSON。但是我想知道是否有更多的标准工作流,例如描述这个端点的名称,比如在OAuth2中?
有什么暗示吗?
浏览 3提问于2015-07-26得票数 6
回答已采纳
1回答
我需要实现用户的单点登录,它可以从几个不同的服务获得服务。
当只有一个服务时,用户可以从客户端登录,将请求发送到后端,将URL返回到JWT令牌颁发者服务器,用户可以从该服务器获得令牌,然后将令牌发送回BE,现在他已通过身份验证。
现在的变化是,他需要得到更多的服务。每个服务都有自己的前端和后端,但每个人都使用相同的颁发者。这意味着既有带有FE和BE的服务,也有另一个用于身份验证的通用BE。
在该场景中进行身份验证的正确流程是什么?是否可以为客户端为每个所需的服务颁发令牌?或者,BE是否应该使用服务的BE url响应客户端,并让客户端自己发送来自每个服务的身份验证令牌响应?还是别的什么?
浏览 1提问于2019-12-01得票数 0
3回答
我的Range2应用程序(以打字本编码)有一个简单的身份验证方案:
用户登录:
服务器返回JSON令牌(JWT) abc123...
在每个API调用中,应用程序在Authorization头中发送JWT。
服务器验证JWT并授予访问权限。
现在我想添加websockets。我想知道如何认证那里的用户。因为我不能控制哪些头被发送到websocket服务器(WS),所以我不能发送JWT。
到目前为止,我的想法(尚未实施):
客户端打开websocket:let sock = new WebSocket('wss://example.com/channel/&#
浏览 14提问于2016-09-25得票数 26
回答已采纳
我有两份申请:
服务器( REST服务器)
节点js
快递
jsonwebtokens
特快专递
猫鼬
客户端(便携式前端)
引导
角JS
局部存储
角脸书
角jwt
Lateron,该客户端应用程序将移植到android、iphone和其他使用phonegap的平台上。对于OAuth,我使用Facebook作为提供商。现在,我刚刚意识到JSON令牌是实现这种设置的方法。我的问题是架构问题,而不是句法问题--如何在nodejs中用JWT签名facebook访问令牌和用户id时如何管理密钥?
这就是我的应用程
浏览 3提问于2015-02-09得票数 15
回答已采纳
1回答
我已经在Oauth2框架中实现了JWT令牌,在实现之后,我几乎没有几个疑问,如下所示:
1.在JWT实现之前,每当用户以相应的访问令牌作为承载时访问资源服务器中的API时,资源服务器将使用 user -info-uri端点与auth服务器进行检查,如下所示
security:
oauth2:
resource:
user-info-uri: https://localhost:8080/auth/user
在JWT实现之后,我认为在资源服务器和auth服务器之间没有发生检查调用,而是使用公钥验证JWT令牌的签名。但是为了在获得JWT令牌之后
浏览 0提问于2018-02-23得票数 0
Web客户端直接使用firebase成功地登录。现在,它想要与我自己的nodejs (非火基)服务器对话。我的服务器是如何验证web客户端是否真正使用防火墙登录的?注意:我的服务器不管理任何用户帐户密码。
似乎使用了以下流程:
为了简单起见,让我给我的优秀网络客户端Bob打电话。
步骤1: Bob需要发送密码+电子邮件到我自己的服务器(非防火墙)。现在我的服务器知道Bob是Bob,并且给Bob客户端一个令牌"bob- token“。
步骤2: Bob在客户端调用firebase firebaseTokenFromFirebase = firebaseFunction.signInWit
浏览 10提问于2022-02-10得票数 0
我对以下情况有疑问?
(React和Rails分离的应用程序)
我使用从rails服务器发送的密钥"token“将JWT保存到本地存储中。我只能通过JWT找到特定请求中的用户。如果用户更改了本地存储中的JWT怎么办。我该怎么处理这个案子呢?如果我在每个请求中检查登录是否有效,我的服务器会死掉吗?
有什么解决方案吗?
提前谢谢。
浏览 9提问于2020-07-31得票数 1
我正在我的启动类中配置JWT Bearer令牌,然后在收到有效的登录请求时生成JWT令牌。我们将生成的令牌发送给客户端,客户端将将其发送到服务器,并在无状态实现中使用每个请求。
授权属性对来自服务器端客户端的每个请求进行身份验证。我想了解这个令牌是在什么地方存储在服务器端进行验证的,因为我们没有手动将它存储在数据库中。
提前谢谢。
浏览 0提问于2021-07-13得票数 2
回答已采纳
我正在使用Busboy与Express和Passport-JWT从我的客户端上传文件,当客户端使用有效的JWT令牌进行授权时,一切正常,但是在客户端未授权的情况下,虽然错误代码401被发送到客户端,但当我在我的ubuntu服务器(TCPDump)中拦截相关端口的传入流量时,我看到一个负载正在从该端口进入。尽管用于上载该文件的所有侦听器都在/uploads路由内,并且不清楚上载的数据位于何处,但上载的数据正在发送 Router.post("/",
passport.authenticate('jwt',{session:false}),
(req,res)=&g
浏览 34提问于2020-10-03得票数 0
2回答
我正在做一个网络游戏,有客户端,js,html5,和服务器,nodejs和websockets。我读过一些关于websockets的博客,以及它的局限性,但没有真正的实现或示例。
发送到服务器的消息中的JWT令牌是否是一个很好的选择?这意味着当客户端连接到服务器时,它会得到一个令牌,并在每条消息上传递它?用wss代替ws。
提前感谢!
浏览 0提问于2018-08-20得票数 0
2回答
考虑到以下情况,有关保护JWT令牌完整性的问题:
客户端发送一个JWT到使用客户端私钥签名的服务器
服务器缓存公钥,但使用http (而不是https)检索公钥,以验证JWT是否由客户端签名。
攻击者拦截http连接,将公钥更改为攻击者的公钥,并向服务器发送带有攻击者签名的JWT --将消息错误地表示为从客户端发送的消息。
有办法解决这个问题吗?谢谢
浏览 0提问于2021-07-28得票数 0
我在第一个VPS上实现了JWT。在这台服务器上,我有Laravel中的控制器和一个存储用户的数据库。现在我想在第二个VPS上添加JWT。但是JWT应该从第一个服务器获取用户。它应该类似于在不同的服务或设备上使用谷歌密码登录。如何在每个下一个VPS上实现JWT?对于此解决方案,是否有任何最佳实践?在第二个VPS上,如果用户登录到第一个VPS上,则只应键入其电子邮件地址并登录,而不输入密码。第一个VPS应该有一些API,当用户在第二个VPS上键入电子邮件时,它应该询问第一个VPS用户是否已登录?
浏览 36提问于2021-02-08得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
