1回答
我有两个服务器,假设是A和B。服务器A将对用户进行身份验证并生成令牌。现在在服务器B上,我如何检查令牌是否有效?我是否必须每次都通过服务器A来检查有效令牌?是否必须将令牌与到期日期一起保存在服务器B中,并检查服务器B上的验证
浏览 4提问于2017-02-11得票数 0
1回答
这两个应用程序都将与节点服务器对话。我使用JWT进行身份验证。目前,我有以下代码来生成访问令牌:对于刷新令牌和访问令牌,我真的很困惑:
刷
浏览 3提问于2020-04-04得票数 1
1回答
AngularJS安全令牌与会话
、、、、
关于AngularJS的大多数教程和示例似乎都采用了JWT方法,并通过HTTP headers将该令牌发送给您的REST API,但考虑到令牌存储在Javascript中,这可能会将其暴露于多种攻击类型现在每个请求都会传递令牌,它不会被Javascript存储,而且是安全的。然而,这在对用户进行身份验证时引发了一个问题:与只处理来自同一服务器的HTTP请求时使用会话有何不同?现在,基于令牌的方法,我们在HTTP headers中发送令牌并读取该令牌,然后验证它并获取用户
浏览 1提问于2015-07-09得票数 2
回答已采纳
为什么客户端不能简单地为每个授权请求同时发送访问令牌和刷新令牌?如果访问令牌已过期,则不需要额外的两次行程即可检索新的访问令牌并最终发出相关请求。我意识到这个操作是分期的,但它将减少对非常短的访问令牌的请求数量。在SSL下,我看不出添加刷新令牌会使这一点更容易受到攻击。或者真的是这样?
浏览 2提问于2016-08-16得票数 2
LlI发现了这个JWT,它为JWT令牌和刷新令牌提供了一个很好的介绍:
我认为,如果原始身份验证令牌在到期后10秒内,则身份验证挂钩可以生成并返回刷新令牌。但是,使用这种^方法,我似乎需要将auth令牌或刷新令牌作为API端点响应对象的一部分返回,这样我的反应性应用程序就能够
浏览 1提问于2020-03-31得票数 1
我的资源服务器公开了一个API,该API期望使用OpenID连接获得JWT访问令牌。然而,内省端点也具有令牌的活动状态。使用它作为JWT访问令牌验证过程中的另一个步骤是否有意义?这是否真的有必要,还是我认为它是有效的,只检查签名和其他索赔?
为验证而只调用
浏览 0提问于2020-04-03得票数 2
回答已采纳
登录成功后,我们将令牌保存在web浏览器内存的本地存储中,然后从应用程序注销,只需将令牌从浏览器内存中删除即可。我们可以阻止用户通过应用程序访问应用程序,但如果有人拥有令牌,他可以使用postman和其他api测试工具访问端点。我们如何克服这个problem.Is ?有什么方法可以手动删除令牌或使令牌过期?
浏览 21提问于2019-07-10得票数 2
回答已采纳
如果我们提出“为什么不使用未过期的访问令牌,而不使用刷新令牌?”,答案可能是“因为如果访问令牌被窃取,恶意参与者有X时间(所述未到期访问令牌的生存期)代表生成令牌的用户执行恶意行为”。我得到的通常答案是:
“您必须将刷新令牌存储在安全的位置。这对我来说毫无意义。为什么我不将访问令牌和刷新令牌存储在“安全的地方”?“访问令牌被窃取的几率更高,因为它比刷新令牌更常用”。为什么恶意参与者不能“嗅探”发送的每一个请求,并最终
浏览 2提问于2021-05-23得票数 3
回答已采纳
以下是Spring的 for OAuth2LoginConfigurer.UserInfoEndpointConfig (我用粗体显示的文本)中的类描述:
它是否需要有一个才能使用OAuth 2.0登录谷歌?这仅仅是因为我们调用了HttpSecurity.oauth2Login()来告诉Spring框架创建一个授权服务器(如果有)?如果应用程序(如前所述)有
浏览 3提问于2022-03-09得票数 0
在OAuth2中,如果我选择抢占刷新访问令牌,旧的访问令牌是否在原始到期日期之前保持有效?或者,它会被更早地擦除,并被新的替换吗?
浏览 17提问于2017-03-17得票数 1
回答已采纳
1回答
我试图在我的应用程序中使用Jwt实现Oauth2。我有一个疑问,那就是为什么我需要更短的access_token到期时间和更长的refresh_token到期时间。因此,如果我忽略了应用程序中的refresh_token,我会面临任何可用性问题或安全问题吗?
浏览 0提问于2019-01-04得票数 0
回答已采纳
2回答
我正在尝试通过Google/Facebook在我的Android应用程序中实现身份验证,但我不知道如何验证发送到后端服务器的请求是否真的来自经过身份验证的用户。
我会试着解释的。当我使用更经典的方式进行用户身份验证时,我只需要在服务器端检查凭据并返回一个令牌。在接下来的请求中,我只需向其添加令牌,我的服务器就可以验证该令牌对于发出请求的用户是否有效。当我使用像Google或Facebook这样的外部登录时,用户在客户端通过相应的SDK明确地进行了身份验证,但是我的服务器
浏览 0提问于2015-05-18得票数 1
2回答
我正在阅读FCM令牌管理文档()中的最佳实践,并有以下问题。在应用程序的初始启动时,FCM为客户端应用实例生成一个注册令牌.您的应用程序应该在初始启动时检索此令牌,并将其保存到应用服务器和时间戳中。因为我无法想象在客户端进程的典型生命周期中有多少服务器交互,我们不会每次启动应用程序并将其称为一天之后更新令牌,而不是创建额外的任务来保持这些令牌的新鲜。我们建议您定期检索和更新服务器上的所有注册令牌。
这里推荐的是null陈旧的
浏览 3提问于2021-11-15得票数 1
我正在尝试将Agora聊天SDK实现到我的android应用程序中。按照给定的文档,我尝试发送对等消息,但每次都显示INVALID_TOKEN_ERROR。请提出任何建议,我们将不胜感激。谢谢。
浏览 0提问于2021-03-18得票数 0
1回答
OAuth2是基于令牌的.令牌只是文本,包含一些信息,包括只有您的应用程序(在我的例子中是web服务)和授权服务器知道的“秘密”。这“证明”用户联系了授权服务器,并从中获得了秘密。让我困惑的是,这似乎只是证明用户在过去某个时候联系过授权服务器。事实上,这并不能证明这一点。这证明了用户知道这个秘密。令牌的其余部分(如角色、持续时间、其他东西)都可以伪造。一旦用户获得了他想要访问的服务的一个令牌,他们就可以随心所欲地用伪造的信息创建新的令牌。事实上,有许多
浏览 0提问于2017-03-21得票数 0
回答已采纳
我发现一些消息来源说,当用户发送断言(在我的例子中是JWT)时,我的授权服务器应该返回访问令牌,但它不应该返回刷新令牌。我想知道返回刷新令牌有什么坏处。开发人员可以通过调用一个Api来使刷新/访问令牌无效,该Api使从特定JWT的id授予的任何访问权限无效。
浏览 4提问于2017-02-23得票数 1
1回答
Openid连接端点之间的通信
、、、、
示例:在授权代码流的情况下,如果授权EndPoint向客户端提供access_token,则此客户端将向UserInfo端点发送此令牌以获取用户信息。
浏览 25提问于2016-09-27得票数 0
3回答
我不明白这件事:如果授权服务器和资源服务器不是同一个系统,如下图所示:资源服务器如何知道谁是用户,他的权限是什么?我是否可以从访问令牌检索这些信息,或者必须在授权服务器和资源服务器之间进行后端通信?
浏览 0提问于2018-02-13得票数 6
回答已采纳
1回答
我们有一个要求,我们的用户想要与各种谷歌API的交互,因此我们需要OAuth2.0授权谷歌的授权服务器。
我们的限制是,我们使用的是一个单一的网页前端,不想重定向离开我们的网页,以获得用户授权。在理想的情况下,用户将选中一个框或单击网页上的一个按钮,然后使用此输入,我们将接收访问令牌和刷新令牌,而无需用户直接与Google交互。是这样的想法是可能的,还是某种形式的用户交互,必须在初始阶段。
浏览 4提问于2016-05-03得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
