未定义JWT身份验证标记
JWT身份验证标记(JSON Web Token)是一种用于在网络应用中传递声明的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT可以通过数字签名或加密来验证发送方的身份,并确保在传输过程中数据不被篡改。
JWT身份验证标记的分类:
- 基于对称密钥的JWT:使用相同的密钥进行签名和验证,适用于单个服务或应用程序。
- 基于非对称密钥的JWT:使用公钥进行验证,私钥用于签名,适用于多个服务或应用程序之间的身份验证。
JWT身份验证标记的优势:
- 无状态:JWT本身包含了所有必要的信息,服务器不需要在数据库中存储会话信息,使得服务器可以无状态地处理请求,减轻了服务器的负担。
- 可扩展性:JWT的载荷部分可以自定义添加所需的信息,方便扩展。
- 安全性:JWT使用数字签名或加密来验证发送方的身份和保护数据完整性,防止数据被篡改。
JWT身份验证标记的应用场景:
- 用户身份验证:JWT可以用于验证用户的身份,避免传统的会话管理方式,适用于Web应用、移动应用等场景。
- 单点登录(SSO):JWT可以用于实现单点登录,用户只需登录一次,即可访问多个关联的应用。
- 授权和权限管理:JWT可以包含用户的权限信息,用于授权和权限管理。
腾讯云相关产品推荐: 腾讯云提供了一系列与身份验证和安全相关的产品,以下是其中几个推荐的产品:
- 腾讯云身份认证服务(CAM):提供了身份管理、权限管理、资源管理等功能,可用于管理和控制用户的访问权限。 产品链接:https://cloud.tencent.com/product/cam
- 腾讯云API网关:提供了API访问控制、身份认证、流量控制等功能,可用于保护和管理API接口。 产品链接:https://cloud.tencent.com/product/apigateway
- 腾讯云密钥管理系统(KMS):提供了密钥的创建、管理和使用,可用于加密和解密敏感数据,保护数据的安全性。 产品链接:https://cloud.tencent.com/product/kms
请注意,以上推荐的产品仅为腾讯云的一部分,更多相关产品和详细信息可以参考腾讯云官方网站。
相关·内容
我尝试使用JWT对Laravel中的用户进行身份验证。在我的身份验证控制器中,我有这样的登录方法: public function login(Request $request)
{
$jwt_token = null;
$input = $request->only("email", "password");
if (!$jwt_token = auth('users')->attempt($input)) {
return response()-
浏览 21提问于2020-08-07得票数 1
回答已采纳
在使用NextAuth登录到我的Nextjs应用程序后,我很难立即向API发送经过身份验证的请求。签名后发送的请求将返回未经身份验证的用户的数据。
我认为问题在于function查询使用的是带有未定义的jwt的查询函数的早期版本(这意味着它未经身份验证)。这是有意义的,因为查询键没有变化,所以React查询不认为它是新的查询,但是,我的印象是,登录将导致loading暂时设置为true,然后返回为false,这将导致React查询发送新的请求。
我尝试过使用queryClient使应用程序中的所有查询无效,但这是行不通的。我还使用在登录后使这个特定查询无效,但它仍然返回未经身份验证的请求。只有
浏览 3提问于2021-05-26得票数 2
6回答
我使用的是laravel 5.4,使用的jwt auth jwt版本是jwt-auth "tymon/jwt-auth": "0.5.*"
在auth.php中,我有
'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],
'api' =&g
浏览 83提问于2017-06-10得票数 7
1回答
如何获取JWT格式的刷新token?团队正在使用AAD进行身份验证,正在使用的OIDC库希望令牌在JWT中用于解码目的。
浏览 10提问于2021-11-13得票数 0
回答已采纳
1回答
我已经按照这个文档的ejabberd authentication将ejabberd服务配置为使用jwt令牌对用户进行身份验证。在ejabberd.yml文件中,我配置了如下身份验证机制 `auth_method: [jwt, sql]
jwt_key: /usr/local/etc/ejabberd/secret.jwk
default_db: sql
new_sql_schema: true
sql_type: mysql
access_rules:
jwt_only:
deny: admin
allow: all
local:
浏览 15提问于2020-09-07得票数 0
回答已采纳
2回答
我有以下函数,它通过创建响应头对用户进行身份验证:
function authenticateUser(res, id) {
const payload = {
id
}
const token = jwt.sign(payload, config.JWT_KEY, {
expiresIn: '24h'
})
res.set('authorization', token)
res.redirect('/user/profile')
res.end()
}
但是
浏览 4提问于2022-08-01得票数 2
例如,当我们使用"io.jsonwebtoken“进行JWT身份验证时,我们将"sessionCreationPolicy(SessionCreationPolicy.STATELESS)”会话创建策略设置为无状态,但是当我们使用内置的spring security JWT身份验证时,情况会怎样呢?在那里,我们不会将会话设置为无状态。那么,在spring安全的内置机制上使用任何其他JWT依赖有什么确切的区别呢?
浏览 26提问于2021-05-07得票数 1
1回答
我构建了一个REST服务,使用Spring和Security进行身份验证。我对Spring和Security都很陌生。我在一个JAR文件中创建了一个身份验证模块。前端客户端向身份验证模块发送带有用户名和密码的请求。然后,身份验证模块根据DB验证用户的详细信息。如果身份验证成功,则创建一个JWT,然后将其发送回客户机。用户名和角色被编码到JWT中。然后,当从其他构建在单独JAR文件中的REST服务端点请求资源时,将使用JWT来验证用户。有几件事我不确定。
在Security中,是否为每个用户创建了一个身份验证对象,以便同时对多个用户进行身份验证,还是每次只进行一次身份验证,并且只能登录一个用户?
浏览 1提问于2017-04-22得票数 1
1回答
我正在尝试进行jwt身份验证,并在验证函数上得到了类似的错误。
没有过载和这个电话匹配。重载3中的1,‘(令牌:字符串,secretOrPublicKey:保密,选项吗?:VerifyOptions \\未定义):string \ object',给出了以下错误。类型为'string‘的’string[] \\未定义‘的参数不能分配给'string’类型的参数。类型'undefined‘不能分配到输入'string’。重载3中的2,‘(令牌: string,secretOrPublicKey: GetPublicKeyOrSecret秘密,回调?:未定
浏览 2提问于2021-06-09得票数 1
回答已采纳
1回答
根据Istio安全文档:“如果每个JWT使用一个唯一的位置,则请求身份验证策略可以指定多个JWT。当多个策略匹配一个工作负载时,Istio将所有规则组合在一起,就好像它们被指定为单个策略一样。这种行为对于编程工作负载以接受来自不同提供者的JWT很有用。但是,不支持具有多个有效JWT的请求,因为这些请求的输出主体是未定义的。”
这是否意味着我可以在不同的策略yamls中有多个唯一的"jwtRules:发行者,jwksUri“,接收工作负载可以接受这些不同的JWT,但是每个请求必须只包含一个特定的JWT?谢谢!
浏览 17提问于2022-02-03得票数 0
最初,我的身份验证工作正常。然后我离开了计算机,再次返回到代码,这一次,我的身份验证失败,并显示以下消息
GraphQL错误:消息:上下文创建失败:您的会话已结束。请重新登录,位置:未定义,路径:未定义
我已经为令牌设置了一个过期时间。我尝试在登录之前清除缓存,但仍然收到上述错误。
下面是我的登录函数代码
_handleSubmit = (values, bag, signIn) => {
signIn({
variables: {
email: values.email,
password: values.password
浏览 0提问于2019-02-06得票数 4
2回答
这是Azure API管理(APIM) Azure服务的上下文。我相信,azure中新的UI变化已经改变了政策执行的行为。
对于jwt,我有一个策略--在全局级别上对所有API进行验证。
最近,我不得不添加新的API,它不需要JWT验证,而是需要证书身份验证。
因此,在APIM中,我在产品级别创建了新的API、产品和添加了证书身份验证策略。
当我运行API时,JWT策略也会触发。在这种情况下,我如何阻止它的执行。我删除了,但它停止了全局+产品级策略。
我希望停止执行全局策略,但希望执行产品级策略。
请给我建议。
浏览 1提问于2018-05-16得票数 2
回答已采纳
const express = require("express");
const jwt = require("jsonwebtoken");
const { type } = require("os");
const app = express();
app.get("/api", (req,res) => {
res.json({
message: "Welcome to the API"
});
});
app.post("/api/posts",
浏览 2提问于2022-08-21得票数 0
回答已采纳
我使用JWT身份验证,使用成员-简单-auth实现用户身份验证。我在下面的项目中提供了必要的细节。
正确身份验证后,jwt令牌将从由djangorest构成的后端传递,并且只包含一个令牌。
/app/验证器/jwt.js
import Ember from 'ember';
import Base from 'ember-simple-auth/authenticators/base';
import config from '../config/environment';
const { RSVP: { Promise }, $: { aja
浏览 2提问于2018-10-23得票数 0
1回答
如何禁用JWT令牌
、、、
当用户从应用程序注销时,我想禁用生成的JWT令牌,这需要在后端代码中完成。如何使用身份验证服务器(SpringBoot)禁用JSON Web Token (JWT)
浏览 60提问于2019-12-27得票数 2
1回答
目前,当试图将Drupal 8与Salesforce连接时,我遇到了一个错误。这将是我第一次从Drupal进入Salesforce,我不完全确定我做错了什么。我在使用Salesforce套房模块。
在创建新的身份验证提供程序时,我会得到以下错误?(不是在本地环境中,这样Salesforce就可以看到URL。)
注意:未定义的属性: Drupal\salesforce_jwt\Plugin\SalesforceAuthProvider\SalesforceJWTPlugin::$credentials in Drupal\salesforce\SalesforceAuthProviderPlug
浏览 0提问于2020-08-03得票数 0
我在我的简单的nestjs应用程序中实现了护照+ jwt来进行身份验证。它很好用。现在我想对路由使用基于角色的身份验证,但是在我的role.guard.ts中,req.user是未定义的。请帮我解决这个问题。
auth.guard.ts
import { Injectable } from '@nestjs/common';
import { AuthGuard } from '@nestjs/passport';
@Injectable()
export class JwtAuthGuard extends AuthGuard('jwt')
浏览 15提问于2022-08-31得票数 0
回答已采纳
刷新用于Google Cloud Endpoint的JWT令牌的推荐方式是什么?
作为背景,据我所知,谷歌云端点使用JWTs通过读取"Authorization“标头,查找”持有者$JWT“来验证用户身份。这种方法非常适合允许用户访问您的API,因为它提供了对API的身份验证访问,而不必对用户进行查找,因为JWT的签名可以用于验证JWT包含的过期和凭证。然而,JWTs在1小时内过期的情况并不少见,当然用户不会想要每小时登录一次……这就引出了我上面的问题。
浏览 16提问于2018-01-17得票数 3
1回答
我已经在移动应用程序上与JWT合作过,但我将首次在一个网站上实现它,以便进行身份验证,而且我还有一点还不明白:
如果我在localStorage中使用JWT令牌,XSS攻击是可能的。
如果我在cookie中使用JWT令牌,那么CRSF攻击是可能的。
但是,如果我在HTTPS上使用JWT令牌和httpOnly+secure cookie,并且令牌生存期为1个月,那么在这种情况下,CSRF攻击仍然可能吗?
我在web上看到了使用cookie的自定义令牌,或者使用localStorage或JWT的自定义令牌,但是我没有明确地得到httpOnly+secure cookie + JWT
浏览 3提问于2016-02-10得票数 16
回答已采纳
2回答
我正在用vue cli和adonis.js构建一个项目。前端只使用Vue.js,后端只提供REST。我将使用jwt进行身份验证。问题是,我不理解jwt的身份验证流程。我最近从Laravel迁移到adonis,所以我对Vue + Ajax + REST知之甚少。以下是我的问题:
您必须在每个Ajax请求中发送令牌吗?
如何使当前用户与给定的jwt令牌相关联?
refreshToken是什么?
提供详细指南的链接就足够了。
浏览 5提问于2020-01-05得票数 1
回答已采纳
这是我第一次在中使用jwt,下面是我的代码:
//create a token for user
const token = jwt.sign({ _id: user._id, email:user.email }, 'secret', { issuer:'Dio', expiresIn: '1h' })
//get the token from req.header
const token = req.header('Authorization').replace('Bearer ', '')
浏览 2提问于2021-08-19得票数 0
回答已采纳
我使用auth0-jwt来处理身份验证:
this.auth0.parseHash((err, authResult) => {
if (authResult && authResult.accessToken && authResult.idToken) {
window.location.hash = '';
this.setSession(authResult);
this.router.navigate(['/']);
} else if (err) {
this.router
浏览 11提问于2018-02-10得票数 2
我使用速成网关作为API网关中间件,有以下设置。
Express网关仅用作网关,服务器位于不同的位置,并将所有登录请求路由到auth服务器以获得jwt,多资源服务器位于快速网关的后面。它不会授权或验证任何请求。所有传入请求都被视为已通过身份验证的。
我已经设置了EG配置,这样它就可以验证JWT,并且只通过正确的JWT传递请求。因为网关本身的授权checkCredentialExistence。
问题
当用户发送注销请求时,我将撤销来自auth服务器的访问和刷新令牌。但是,被撤销的JWT令牌仍然是一个有效的令牌。网关继续使用已撤销的jwt传递传入请求。
如果JWT在Express网关中仍然有效,
浏览 6提问于2020-02-24得票数 0
回答已采纳
1回答
这可能看起来是一个多余的问题,但请先听我说完:
我正在使用React前端和Node后端。我正在使用JWT处理用户身份验证。现在,我在实际使用JWT和执行身份验证时遇到了问题。这就是我被卡住的地方:
~我尝试在后端将token设置为http cookie。如果我与邮递员一起工作,我会看到令牌被设置。但是,当我使用req.cookies.token尝试并接收令牌cookie以在后端执行验证时,我得到了一个未定义的值。我是否应该以某种方式将cookie从前端发送到后端?我觉得这就是我缺少的部分。
敬请指教!
浏览 1提问于2020-11-05得票数 0
1回答
Strapi版本: 4.1.5
操作系统: Debian GNU/Linux 9
数据库: PostgreSQL 13
节点版本: v14.16.0
国家预防机制版本: 6.14.11
纱线版本: v1.22.5
大家好,我似乎找不到关于如何在Strapi中使用自定义插件的权限的一致信息。我希望使前端(Next.JS)应用程序可以使用端点,但前提是前端应用程序已经作为用户进行了身份验证,并且使用了使用Strapi身份验证后返回的JWT。我不断得到401美元的回报。
,我正在做的事情是:
我使用在Strapi中设置身份验证。我在Strapi中创建了一个用户,在前端
浏览 41提问于2022-06-14得票数 0
我有一个自定义的身份验证机制,我希望它能与servant-swagger输出的swagger文档兼容。 data AuthUser = AuthUser
{ auth_user_id :: Int64
, auth_user_email :: Text
} deriving (Eq, Show, Generic)
type instance AuthServerData (AuthProtect "JWT") = AuthUser 这是在Authorization头中传入的。我当前收到以下错误: • No instance for (HasSwagg
浏览 19提问于2020-01-07得票数 2
回答已采纳
这是一个Symfony 3.4应用程序,它有一个网站前端和一个访问同一个后端的移动应用程序。用户可以通过
提交用户名和密码的login)authentication (使用带有facebook帐户的google accountauthentication表单)
以前,只有一种登录方式(username+password)。身份验证和防火墙配置工作正常。添加社交网络身份验证需要对防火墙配置进行更改,现在防护身份验证已经部分中断。
到目前为止,我确信的是,我们需要为网络用户(main)和移动应用程序用户(api)分别设置防火墙。对Web用户进行一次身份验证,然后将登录的用户信息存储在会话cooki
浏览 2提问于2019-11-14得票数 0
回答已采纳
我正在尝试学习JSON令牌(JWT),并使用中的文章系列成功地完成了一个示例。
我读过关于JWT的文章,并且喜欢使用中的JWT调试器来解码令牌。令牌不是加密的-只是编码而已。
我有一个现有的ASP.Net网站,它使用forms authentication。我计划将此功能作为Web,并使用JWT进行身份验证。
因为JWT可以被解码,如果一些恶意黑客能够读取令牌,他们就可以通过身份验证并访问资源。
问题1与ASP.Net窗体身份验证相比,JWT的安全性如何?它是更多、更小还是更平等的安全和不安全的网络?
问题2文章说明了在Application_AcquireRequestState事件中验证在
浏览 0提问于2016-08-20得票数 0
回答已采纳
1回答
我是REST的新手,我正在开发一个使用Angular的SPA,而后端是用laravel编写的。到目前为止,我在互联网上找到的唯一一种身份验证类型是通过JWT,但我也读到它们有点不安全,可能会被窃取。JWT是在SPA中对用户进行身份验证的唯一方法吗?还有其他更安全的方法吗? 谢谢!
浏览 55提问于2020-04-11得票数 0
回答已采纳
我有一个laravel 5后端,它发送一个jwt-token作为json响应(使用)。用户身份验证工作正常。
我需要做的是使用jwt-token进行管理员身份验证。管理员位于名为admin的不同表中。
如何对不同的表使用jwt-token?
浏览 0提问于2015-03-30得票数 6
2回答
使用JWT实现了Django REST和身份验证。对于JWT令牌,我们必须在它过期之前对其进行刷新。过期后,JWT将不会提供新的令牌。
对于我的移动设备,我需要每10分钟(JWT_EXPIRATION_DELTA)刷新一次令牌。如果用户没有活动超过10分钟,那么我需要要求登录。有没有什么方法可以在JWT令牌过期后刷新令牌。(我们可以将刷新时间限制为2天)
在Mobile中处理这种行为的最好方法是什么?
谢谢。
浏览 1提问于2017-03-02得票数 7
回答已采纳
2回答
我正在使用keycloak为应用程序进行身份验证。我希望从keycloak生成的JWT令牌中删除领域访问。
拥有领域访问(角色)离子JWT令牌是一种糟糕的实践吗?
是否有一种方法可以从keycloak服务生成的JWT令牌中删除领域访问?
浏览 1提问于2019-08-30得票数 1
1回答
JWT认证Laravel
、、、、
我试图在laravel中安装jwt身份验证,但是我使用的是Laravel5.8和JWT,遵循这个,但是显示了这个错误。
我的供应商/tymon/jwt.php/src/jwt.php中有任何问题。
在第182 200行之间
public function parseToken()
{
if (! $token = $this->parser->parseToken()) {
throw new JWTException('The token could not be parsed from the request');
浏览 0提问于2019-09-02得票数 0
3回答
我在用laravel写一个网络服务。我想向它添加JWT身份验证。我的api控制器位于
app\http\controllers\api\v1\AuthController.php
项目目录我的laravel项目版本是5.7。我使用这些命令来安装和配置包:
composer require tymon/jwt-auth:dev-develop --prefer-source
然后
php artisan vendor:publish --provider="Tymon\JWTAuth\Providers\LaravelServiceProvider"
和
php arti
浏览 1提问于2019-02-26得票数 0
1回答
我正在创建一个SPA与Webpack 2和代码分裂。有些包将仅限于管理,因此需要身份验证和授权。我使用的是JWT,我计划在localStorage上使用令牌。
如何将身份验证头添加到webpack包请求中?
浏览 5提问于2017-04-26得票数 1
回答已采纳
3回答
我将在节点js中使用JWT实现我的身份验证方法。我搜索了一会儿不同的身份验证方法,最后决定使用JWT。但是,我对基于JWT的身份验证感到困惑。
我的问题是:我们应该通过HTTPS发送JWT吗?如果是,那么我们为什么要使用JWT呢?,为什么没有JWT就不通过HTTPS发送所有所需的信息?
换句话说,当没有HTTPS (如中间人攻击)的安全问题时,使用JWT进行身份验证的原因是什么?有没有其他不使用HTTPS就能完美工作的身份验证方法?
浏览 0提问于2018-05-19得票数 3
回答已采纳
1回答
我正在使用spring安全和JWT来为我的移动应用程序实现身份验证/授权系统,我对系统的实际设计有一些疑问。这是允许用户访问安全REST的身份验证/授权流:
移动应用程序向/auth/令牌端点发送请求,以及使用basic身份验证方案的用户的用户名和密码。服务器对返回JWT访问和刷新令牌的用户进行身份验证。对端点/api/**所表示的受保护资源的所有后续请求都是通过访问令牌执行的,访问令牌由服务器验证和信任。验证和信任令牌的逻辑由在spring的BasicAuthenticationFilter.If之前执行的令牌过滤器执行--令牌不再有效--客户端将刷新令牌(JWT)发送到/auth/refr
浏览 4提问于2019-12-21得票数 0
回答已采纳
我跟随使用Devise和JWT实现了双重身份验证,当我尝试登录到我的应用程序时,我收到了这个错误:
未定义的局部变量或SessionsController的方法‘`request’:Class你是指什么?要求
Sessions_controller.rb代码:
class SessionsController < Devise::SessionsController
respond_to :html, :json
clear_respond_to if request.format == 'json'
end
有没有人能帮我纠正这个错误?谢谢。
浏览 1提问于2018-02-21得票数 0
回答已采纳
2回答
我正在开发一个java安全应用程序,我想用实现无卫星身份验证。
在ajax请求的情况下,没有任何问题,我可以以这种格式在请求头内发送生成的令牌:
Authorization: Bearer jwtHeader.jwtPayload.jwtSignature
问题是通过单击GET标记发送<a>请求。假设我有一个/my-orders url,它负责获取一个普通的html页面,并且我希望为经过身份验证的用户保护它。当用户单击链接或直接在浏览器地址栏中粘贴api get url时,他的请求总是失败,因为get请求中没有jwt令牌。
有任何方法可以发送带有浏览器get请求的jwt吗?
浏览 0提问于2018-11-01得票数 4
当需要发送html文档体时,如何在客户机通过身份验证而不使用Cookies的情况下将JWT发送到客户端?
有文档、博客文章和教程,它们解释了没有cookie的jwt身份验证,并利用Web来保存jwt客户端。但是,所有这些都是微不足道的例子,没有在http响应体中发送html文档进行身份验证,这在我可以想象的一些实际应用程序中是必要的。可以在cookie http响应头中发送cookie,同时在同一个响应体中使用html文档,我仍然无法看到解释使用jwt作为响应而不是cookie的帖子。如我所知,如果您想在响应体中将jwt响应头与html文档一起发送,那么浏览器中的javascript中就没有一
浏览 4提问于2016-01-17得票数 0
目前,我正在使用OpenID connect和Azure开发一个asp.net核心web应用程序。我发现Web API项目模板使用JWT身份验证。我可以对web应用程序和API项目(使用Azure)都使用JWT身份验证吗?我可以看到很多使用JWT的示例Web API项目,但我几乎找不到任何使用JWT身份验证的asp.net (核心) MVC应用程序的示例或教程。是否可以使用JWT对web应用程序进行身份验证?例如,登录页面可以发出jwt令牌,然后站点就可以进行身份验证了吗?
谢谢
浏览 12提问于2017-02-01得票数 1
1回答
来自https://community.auth0.com/t/login-url-404-not-found/52181的转发 我安装了一个auth0应用程序。我正在尝试设置一个身份验证webapp流程和代码授权流程; 我正在遵循这篇文章:https://auth0.com/docs/quickstart/webapp/django来实现Auth0 web应用流程。 要实现后端代码授权流程,请执行以下操作:https://auth0.com/docs/quickstart/backend/django 实现在这个文件中: apps/auth_zero/auth0backend.py,用于编
浏览 3提问于2020-10-27得票数 0
回答已采纳
描述JWT用法的每个示例代码都会讨论有效负载,通常是用户信息,如名称和角色。 我想知道在JWT中编码这些信息有什么意义,因为JWT没有额外的安全性,只会给前端增加负担,让它加载一个专门用于解码JWT的库。 我想问的是,是否有理由进行这种编码,而不是只将用户数据(或您需要传递的任何有效负载)与答案中的JWT一起发送。 目前我正在发送:(这是ExpressJs代码) const jwt = jwtUtils.buildToken(user);
res.json({ jwt }); 其中jwt包含具有用户信息的有效负载。 但如果我这样做了呢: const user = userModel.get(
浏览 27提问于2020-03-16得票数 1
回答已采纳
1回答
我的.Net Core3.1WebAPI服务可以使用两种不同类型的JWT进行身份验证。
我的控制器的服务操作有时要求其中一个或两者都存在。有时,任何人都可以调用它们(没有任何一个JWT)。
我看到可以应用于控制器中的服务操作的唯一属性是Authorize属性。我已经研究过该属性(或自定义属性)的使用情况,但我遇到了一些问题。
Authorize属性似乎无法更改返回的HTTP代码。在我的例子中,如果没有有效的JWT调用我的服务,我需要返回一个401 Http状态代码。
如何有条件地要求控制器中的服务操作要求身份验证并返回401?
浏览 2提问于2020-08-19得票数 1
1回答
我想设计一个api,一个组织将使用它来连接我的服务器。对于客户机-服务器应用程序,一个简单的基于jwt的身份验证是通过验证用户凭据并为他们生成一个令牌来完成的。
我的问题是,认证另一个系统的过程应该是什么?该组织应该如何接收获得身份验证令牌所需的凭据?例如,我应该定义一些静态值并告诉该组织使用它们进行身份验证吗?什么是最佳做法?
浏览 0提问于2020-03-10得票数 0
回答已采纳
2回答
现在,许多开发人员使用JWT身份验证来授权api调用。顺便说一句,如果黑客能够捕获经过身份验证的用户的api调用请求,那么他就可以拥有经过身份验证的JWT令牌。然后,黑客可以使用授权的JWT令牌访问这个api,而无需进行身份验证。这样行吗?我想知道JWT身份验证实际上是安全的。你能解释一下吗?
浏览 5提问于2017-08-04得票数 0
回答已采纳
1回答
我有一个web项目,其中:
有些控制器操作需要JWT身份验证,
有些不需要JWT身份验证,
有些则根据JWT的有效性返回不同的数据,在JWT中,数据仅在一个字段的值中不同。
第一种方法很容易,因为JWT身份验证中间件将处理它,但是如何实现其他2呢?
浏览 0提问于2019-06-10得票数 0
回答已采纳
1回答
我正在为个人项目创建一个API和一个SPA,并在以下验证用户的解决方案之间犹豫不决(注意:通过HTTPS):
HTTP基本身份验证(发送每个请求的用户名/密码)
基于令牌的身份验证(在数据库中存储SHA1 1-ed用户令牌)
JSON Web令牌(JWT)身份验证
我甚至不认为OAuth,因为这似乎是一个真正的痛苦,而且我不需要认证其他应用程序,我只关心认证用户。
据我所读,JWT似乎是一个日益增长的标准。它基本上保存调用方的数据,所以每次调用者发出API请求时,您都会使用encrypt(base64(header) + "." + base64(paylo
浏览 2提问于2016-08-14得票数 1
1回答
我是MVC的新手,从角度上介绍了我们的应用程序,所以为有限的知识表示歉意。
我们的MVC应用程序被设置为在成功的身份验证后通过API提供JWT令牌。(邮递员测试)
当前将表单发布到API中,但是验证不适用,成功的“登录”将api url与令牌一起加载为xml。
我想知道如何:
句柄错误(当前抛出服务器错误“字符串引用未设置为字符串实例”)cshtml页面不验证
存储令牌并正确处理请求
在哪里存储代码,在控制器中存储什么,在页面上存储什么。
存储令牌而不是加载XML页面所需的内容
我不确定持有JWT令牌与MVC身份验证在整个站点中有什么不同
任何帮助都是非常感谢的!
浏览 0提问于2019-01-14得票数 0
6回答
我知道基于曲奇的认证。SSL和HttpOnly标志可用于保护基于cookie的身份验证不受MITM和XSS的影响。然而,需要采取更多的特别措施,以保护它不受中央应急基金的影响。他们只是有点复杂。()
最近,我发现JSON令牌(JWT)作为身份验证的解决方案非常热门。我了解有关编码、解码和验证JWT的内容。然而,我不明白为什么有些网站/教程告诉我们,如果使用JWT,就不需要CSRF保护。我读了很多书,并试图总结下面的问题。我只想有人提供一个更大的JWT图片,并澄清我误解了JWT的概念。
如果JWT存储在cookie中,我认为它与基于cookie的身份验证相同,只是服务器不需要有会话来验证co
浏览 7提问于2014-11-21得票数 293
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
