Asp.Net核心身份使用JWT中的什么信息来授权令牌有效?
Asp.Net核心身份使用JWT中的"签发者(Issuer)"和"受众(Audience)"信息来授权令牌的有效性。
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方式。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。其中,载荷部分包含了一些声明(Claims),用于描述用户和其他相关信息。
在Asp.Net核心身份中,使用JWT作为身份验证和授权的一种方式。当用户登录成功后,服务器会生成一个JWT令牌,并将用户的身份信息和其他相关信息加密到令牌的载荷部分。在后续的请求中,客户端会将该令牌作为身份凭证发送给服务器。
服务器在接收到令牌后,会解析令牌并验证其有效性。其中,Asp.Net核心身份会使用JWT中的"签发者"和"受众"信息来验证令牌的有效性。"签发者"(Issuer)指的是生成令牌的服务器,而"受众"(Audience)指的是接收令牌的服务器或应用程序。
通过验证"签发者"和"受众"信息,Asp.Net核心身份可以确保令牌是由可信的服务器生成,并且仅用于特定的接收方。这样可以防止令牌被篡改或被其他非法应用程序使用。
总结起来,Asp.Net核心身份使用JWT中的"签发者"和"受众"信息来授权令牌的有效性,以确保令牌的合法性和安全性。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云身份认证服务(CAM):https://cloud.tencent.com/product/cam
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云访问管理(TAM):https://cloud.tencent.com/product/tam
相关·内容
3回答
多个服务的一个JWT令牌
、、、、
我面临着ASP.Net核心中JWT身份验证的问题。情况如下:
我有一个ASP.NET Core,让我们称它为‘API’。对于提供正确登录/密码的用户来说,生成JWT令牌是合理的,而令牌是生成的。
我有第二个ASP.NET Core,名为‘Api’,它从数据库返回一些数据。我希望能够使用由'API A‘生成的JWT令牌来授权从'API B’访问数据。
是否可以通过使用JwtBarear身份验证来实现?
谢谢你的建议!
浏览 0提问于2018-03-30得票数 2
我正在从事一个blazor服务器端项目(为将来的工作项目学习)。我正在尝试在应用程序中实现身份验证,就像在带有httpcontext.SignInAsync(CookieDefaults.AuthenticationScheme,主体的asp.net核心应用程序=>中一样;但是我真的找不到任何关于=>的东西,Cookie或JWT Auth在blazor服务器端应用程序中是可能的,或者更好地说是符合逻辑的? 我的项目结构:数据库/API <= Blazor App 我正在考虑用我的API使用Jwt身份验证,并用LocalStorageService =>存储jwt令牌,
浏览 65提问于2021-03-25得票数 1
回答已采纳
2回答
我正在学习ASP.NET核心中JWT令牌的用途,但我一件事也不明白。为什么每个博客都调用JWT身份验证?如果我们将令牌传递给经过身份验证(登录)的用户。我的意思是为什么JWT不是授权而是身份验证?我不明白我在这个话题中跳过了哪一点。
浏览 9提问于2022-12-03得票数 0
回答已采纳
3回答
我在我的ASP.NET核心2 web应用程序中使用JWT令牌
如果JWT令牌失败,我仍然希望击中控制器方法,但是ASP.NET Identity User对象将为null。目前,如果身份验证失败,控制器方法将不会被输入,因此我无法在该方法中应用逻辑来处理非身份验证用户,而不是阻塞他们。
我的代码:
Startup.cs
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication()
.AddJwtBearer(cfg =&
浏览 1提问于2018-02-08得票数 10
回答已采纳
1回答
Web :授权或/和身份验证
、、、、
我创建了asp.net web项目。我需要添加授权或/和身份验证。我读过很多关于OAuth、SAML、JWT、HMAC等的文章,每次我看到作者都强调OAuth不是身份验证,您需要将authN与authZ区别开来。我有点困惑,因为我不明白:
当我需要使用身份验证(SSO,登录/密码)和何时授权(OAuth,令牌)的API?
HMAC、JWT是用于授权还是用于身份验证?因为它们是经过签名的,所以我可以将userid添加到此令牌中,使用类似于用户标识符。
authN工作流和authZ工作流有什么真正的区别?
浏览 7提问于2015-10-14得票数 0
回答已采纳
1回答
我正在构建一个ASP.NET核心web应用程序和角度,我想使用基于令牌的身份验证来保护它。我对身份验证机制比较陌生,所以我没有什么需要澄清的。 我决定使用本教程中的链接https://medium.com/c-sharp-progarmming/asp-net-core-5-jwt-authentication-tutorial-with-example-api-aa59e80d02da来使用基于jwt令牌的身份验证。 我还读到了另一个教程,它解释了使用owin https://www.c-sharpcorner.com/UploadFile/ff2f08/token-based-authe
浏览 11提问于2021-11-03得票数 1
回答已采纳
基本上,我有一个家庭作业,涉及我在Asp.Net (标准版本,而不是核心)中创建一个MVC应用程序。我需要使用jwt提供身份验证,但我必须使用单独的身份验证服务器,因此令牌的创建和验证被委托给该服务器,如果已经存在这样的服务器(可能是使用jwt的facebook或twitter身份验证服务器),我应该使用它,而不是创建自己的服务器。我不确定是否有可以使用的jwt身份验证服务器,我也不知道处理jwt令牌的最佳方法是什么,例如,如果我有一个将内容提交给控制器操作的表单,如何在请求中放置jwt令牌。这方面的任何帮助都将不胜感激!
浏览 11提问于2019-07-11得票数 0
我有简单的asp.net核心web应用程序和Is4的基本解决方案。
在asp.net核心中,我使用addCookies()方法,但是is4返回jwt令牌,当我使用cookies时,为什么会有jwt?
当我打电话的时候我就知道了
HttpContext.getTokenAsync(openIdconnectparameterNames.idToken)
这里有jwt..。如果我使用cookie,有人能解释我为什么得到JWT吗?
浏览 4提问于2022-09-06得票数 1
回答已采纳
我正在尝试根据我配置身份服务器使用的内容编写一个使用引用令牌或ASP.NET令牌的标识服务器令牌的JWT。IS4的后端配置非常简单,我只是不相信我可以配置2种不同的令牌中间件,我的服务既可以接受它,也知道该做什么。
所以我的想法是:
如果我的API获得了一个jwtToken,它将尝试使用jwt中间件进行身份服务器的授权。
如果我的API获得了一个引用令牌,它就会尝试使用内省中间件将授权返回到身份服务器。
显然,如果为IS4服务上配置的任何内容提供错误类型的令牌,它将失败。
处理令牌端点和撤销端点也应该很容易,这只是我关心的中间件魔术。
我知道通常你不会想这样做,但我们有一个利基
浏览 2提问于2020-08-13得票数 0
2回答
我有一个客户端应用程序(JS)是由一个简单的ASP.Net核心网站(让我们称之为‘网站A')。“网站A”的目的是简单地提供网站。这意味着,没有业务逻辑,它基本上也可以是一个PHP/Rails/任何站点(它是ASP.Net核心,为OrchardCore发布做准备)。客户机应用程序(JS)通过传递用于身份验证的共享cookie来调用我的后端api (另一个ASP.Net核心站点--让我们称之为'API‘)(所以- 'API’可以处理由‘网站A’创建的cookie )。这意味着,所有业务逻辑都通过'API‘处理。换句话说:当前“网站A”处理身份验证(如1所述),客户端
浏览 0提问于2018-03-03得票数 0
2回答
通过JWT令牌进行授权
、、、、
带有ASP.NET标识3.0的ASP.NET核心5,我同时使用网页和apis。我使用OpenIddict来发出JWT令牌并进行身份验证。我的代码看起来如下:
X509Certificate2 c = new X509Certificate2(@"tokensign.p12", "MyCertificatePassword");
services.AddOpenIddict<WebUser, IdentityRole<int>, WebDbContext, int>()
.EnableTokenEndpoi
浏览 3提问于2016-07-23得票数 7
回答已采纳
4回答
JWT术语一直困扰着我,原因有几点。JWT是否适合授权,还是仅用于身份验证?
如果我错了,请纠正我,但我一直认为授权是允许某人访问资源的行为,但是JWT似乎没有任何实际允许用户访问给定资源的实现。所有的JWT实现都是为用户提供一个令牌。然后,通过对后端服务端点的每次调用传递此令牌,在该端点中检查其有效性,以及是否授予有效访问权。因此,我们可以对任何用户的Authentication使用JWT,但是我们如何限制对特定有效用户的访问?
我们如何使用JWT来根据用户的角色限制几个用户呢?JWT是否也提供了任何类型的授权细节,还是仅仅提供了我们的身份验证?
提前感谢你的帮助和耐心地阅读我的怀疑。
浏览 0提问于2018-01-22得票数 25
2回答
现在,许多开发人员使用JWT身份验证来授权api调用。顺便说一句,如果黑客能够捕获经过身份验证的用户的api调用请求,那么他就可以拥有经过身份验证的JWT令牌。然后,黑客可以使用授权的JWT令牌访问这个api,而无需进行身份验证。这样行吗?我想知道JWT身份验证实际上是安全的。你能解释一下吗?
浏览 5提问于2017-08-04得票数 0
回答已采纳
我正在构建一个网站,我使用asp.net web 2与身份框架和Oauth进行授权。我想知道默认web令牌和json web令牌(JWT)之间的区别,在哪种情况下我们使用每一种?
浏览 1提问于2017-02-28得票数 0
2回答
我是asp.net核心的新手,希望在WEB 2项目中实现身份验证和授权。我对使用basic身份验证、承载令牌、JWT令牌或其他任何方法有点困惑。请提出更多更好的谢谢
浏览 5提问于2017-07-04得票数 2
回答已采纳
2回答
我目前正在创建一个基于Microservices体系结构的新应用程序,身份服务器4提供了身份验证。
经过大量的研究,并建立了概念的证明,我有身份服务器设置来保护API和一个本地应用程序成功地使用令牌访问这些服务。
最初,客户端被授予了一个访问令牌,用于访问API,但是,我现在已经将其切换到使用引用令牌。现在,开始讨论这个问题!
我在这里要采取的方法是采用microservices网关,它接收引用令牌,然后将其转换为JWT,以便包含在对下游微服务的任何请求中。在网关中,我如何为JWT“交换”入站引用令牌?身份服务器中有什么东西可以在这里提供帮助吗?还是我需要使用内省端点,发送引用令牌并检索声明,
浏览 0提问于2017-02-19得票数 3
回答已采纳
我读过关于API键和JWT的多个页面/博客文章,但我仍然很困惑何时使用其中之一。最近有人说,JWT已成为API身份验证的标准,但在下面所述的几种情况下,JWT对我来说变得令人困惑。
JWT“not”的选择适用于任何需要对用户进行身份验证的UI应用程序,以及任何需要在API上授权的API调用,而不仅仅是身份验证。
然后,语音出现了API,它只需要身份验证,不需要识别单个用户。在这种情况下,JWT看起来是过火了。
另一方面,当API (直接调用,没有UI)使用JWT而不是“静态”并且需要为它生成刷新令牌时,它是什么样子的呢?一般来说,API应该如何处理它?每一次请求都应该这样做吗?
浏览 0提问于2020-12-01得票数 10
回答已采纳
我正在尝试使用Docusign API在身份验证中构建JWT Grant flow。
我通常会收到"invalid_grant“或"invalid_request”错误。
返回带有code参数和jwt标记的重定向uri。
我所理解的是,我需要在我的服务器上创建一个JWT来进一步利用它进行身份验证,而这个JWT的结构也没有利用这个code参数。
我需要使用GUUID来获取用户的,该用户刚刚使用电子邮件地址同意了我的服务器。
然后使用该GUUID创建我们的JWT,现在可以工作了吗?
但在所有这一切中,我们没有使用在code参数中返回的JWT。
为什么它在那里它是令人困惑的?
浏览 20提问于2021-02-17得票数 0
回答已采纳
1回答
我们有一个ASP.NET核心Web,我想用来保护它。图形标记是有效的,我可以进行图形调用,它可以很好地工作。
但是,如果我尝试访问使用JWT身份验证配置的ASP.NET Core,则会出现以下错误。
无记名error="invalid_token",error_description=“未找到签名密钥”
我是否遗漏了一些要配置的配置,或者这是图形标记的问题?下面是如何配置身份验证。
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJ
浏览 1提问于2019-04-02得票数 3
回答已采纳
我是一个学生,为我的高级设计项目谷歌主页的NLP应用程序工作。我特别想知道:
实现Google链接的正确方法是什么? Google帐户链接为通过Dialogflow注册/身份验证用户提供了什么(即数据流从初始查询到Google,返回到Dialogflow,再到我的ASP.NET Core处理程序)。
帐户链接是否将头中的承载令牌返回到对话框流,从而返回到我的处理程序?或者我必须解析originalRequest JSON对象来获取用户信息,然后根据身份提供者验证它吗?
如何从webhook (ASP.NET Core )中的对话框请求中获取用户的信息?我必须解析originalRe
浏览 0提问于2018-03-28得票数 3
回答已采纳
问题:
创建一个使用从api客户端传递的令牌来保护的WebApi。
某些api方法应该只对具有特定角色定义的用户可用。
例如。
场景将如下所示:
Angular8调用WebApi登录
httpClient.Post(new LogInRequest(userName, password));
WebApi在用户中签名并生成令牌
signInManager.PasswordSignInAsync(userName, password);
var token = GenerateToken(userName); // token should be generated internally
ret
浏览 1提问于2019-10-04得票数 0
回答已采纳
我计划将ASP.NET WebAPI2.0(包括身份验证和授权以及所有服务)更改为Microservices。
我的问题是,我是否创建了一个中央微服务来处理身份验证和授权。如何授权使用令牌向其他服务发送请求的用户?
为了详细说明这个问题:
假设我有三个微型服务。1)ASP.NET框架处理身份验证和授权,对用户进行身份验证并发送令牌。2) Orders服务,它将接收包含令牌的请求。(ASP.NET核心)3)会计服务,它将接收包含令牌的请求。(ASP.NET核心)
当用户调用服务2或3时,我们如何授权他们?这是一种理想的方法吗?
浏览 0提问于2019-04-08得票数 7
回答已采纳
我正在使用JWT中间件+ ASP.NET标识在我的ASP.NET核心WebAPI项目中建立一个简单的用户/密码登录。
代币有效期为15分钟。我认为我将利用刷新令牌的概念,让用户登录,当他还在浏览网站或使用移动应用程序( remember me选项呢?)我会创建一个有效期为一个月的令牌吗?)
那么,有什么方法可以撤销生成的令牌呢?我正在考虑(针对每个请求)检查用户是否仍然有权访问API。也许还有另外一种方法来处理这些案件?
我看到一张AspNetUserTokens桌子。也许有一种方法可以自动地将JWT存储在那里?!目前,我只为用户身份验证而使用ASP.NET标识。
浏览 0提问于2018-11-13得票数 1
回答已采纳
1回答
目前正在开发一个ASP.Net Core6API,它将从一个Xamarin移动应用程序中消费。
我只想知道两件事:
我必须使用什么ASP.Net核心Web身份验证?如下图所示,Jason令牌(JWT)或其他类型的身份验证适合Xamarin。
我如何保持(JWT) cookie身份验证活动,然后将其在端点上传递给移动开发人员,这样他们就可以使用它并从Xamarin应用程序中取消它,否则它将自动完成?
如何将JWT令牌从ASP.Net核心API传递给ASP.Net应用程序.因为Web将从XamallyMobileApp.中使用。
有什么想法吗?
private
浏览 3提问于2021-11-15得票数 0
回答已采纳
1回答
我想保护我的Azure WebApi与第三方供应商(FB,G+.我只需要一封有效的电子邮件)。在web项目中,它似乎将与Jwt中间件结合使用,但我想知道是否也可以只使用Azure来完成同样的任务。
Azure认证让我有点困惑--它似乎没有给我的Asp.Net Web应用提供任何东西。我仍然需要配置Startup.cs中的所有中间件,如果完全关闭身份验证,应用程序仍然可以正常工作。
我可以做Auth0做的同样的事情--基于来自FB或G+的访问令牌来发布自己的Jwt令牌--但希望避免这种情况。
请你指出正确的方向好吗?
浏览 2提问于2016-02-11得票数 0
回答已采纳
我已经在应用程序的API部分实现了JWT身份验证/授权。我还有一个ASP.NET核心MVC网站,我想在上面进行身份验证。可以使用API中的JWT令牌向网站进行身份验证吗?我想防止用户去特定的地方,除非他们被授权,并重定向到登录页面,如果没有。我找到的所有示例都显示了如何使用API (JWT)或MVC网站(cookies)来实现这一点,但不能同时使用两者。
浏览 0提问于2020-02-27得票数 4
我不知道我是不是说得很清楚,但我会试着...
我需要我的API来阻止来自我的web应用程序之外的任何人的请求,我正在使用JWT身份验证进行登录。
我不知道如何开始这样做,我不知道我必须搜索/学习什么,所以我在这里获得关于我可以搜索的主题的帮助。
浏览 8提问于2019-07-18得票数 1
回答已采纳
在成功的身份验证后,我们有一个从外部系统加载信息(特定于用户)的应用程序,为了避免每次api调用往返到外部系统,我们计划创建一个具有用户特定信息的自定义JWT令牌,并首次对用户进行身份验证,然后使用http拦截器将令牌发送给每个响应头中的用户,在前端,我们将每个请求中的自定义令牌连同授权令牌一起包括在内。这种做法正确吗?你有其他的建议吗?
我已经研究过其他分布式缓存技术,比如redis,但对于一个小型的usecase来说并不那么有吸引力。我们的有效载荷长度不超过4到5K,因此倾向于JWT选项。
浏览 2提问于2021-12-05得票数 0
我的目标是使用生成的JWT令牌(第二个应用)来授权可浏览的API(第一个应用程序)。我创建了两个应用程序,1.API-拥有所有的数据2.身份验证-在验证用户之后生成JWT令牌。
现在,当我在生成令牌之后尝试访问API时,没有提供身份验证凭据。
我的意思是,是否有一种使用JWT令牌来验证可浏览API的方法?而不是创建用户会话。
浏览 0提问于2018-07-10得票数 0
回答已采纳
我一直在读有关JWT的文章。
但据我所知,它不是一种身份验证机制,而更像是身份验证机制中的一个关键组件。
我目前已经实现了一个有效的解决方案,但它只是尝试JWT,看看它是如何工作的。但我现在追求的是一个人应该如何利用它。根据我的经验,它基本上只是一种加密机制,给你一个唯一的加密密钥。您还可以将信息放入此令牌中。
我想在移动应用程序使用的ASP.NET web API2上实现它。
因此,第1步:
应用程序=>服务器:登录(用户,JWT =>应用程序:登录OK,这是您的JWT 应用程序=>服务器:获取我的配置文件(发送JWT请求)服务器,然后解密JWT并确定请求身份。
这只是我的
浏览 39提问于2014-05-15得票数 56
回答已采纳
这听起来可能是个奇怪的问题,但我们的代码中有某种流,我不知道发生了什么,需要.net社区的一些帮助
在我们的startup.cs中,我们有以下代码来添加身份验证:
public override void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication()
.AddJwtBearer()
.AddCookie("Cookie");
}
当有人正在调用服务(使用rest调用)时,他必须在授权头中提供一个有效的AccessToken。
浏览 4提问于2022-06-02得票数 0
回答已采纳
1回答
我有一个多个微服务体系结构,我打算在其中应用安全性。
:将在LDAP上进行身份验证,当用户通过身份验证时,将使用“秘密密钥”生成JSON令牌(JWT),该令牌将具有角色、过期时间等。在每次调用微服务时,该令牌将在头中传递授权。在我看来,我只有一个auth服务器,它对用户进行身份验证并生成JWT。
我的怀疑:
现在,当微服务接收到一个调用(在头中包含JWT )时,它是否总是访问auth服务器来验证令牌?
如果是的话,,,会不会导致对auth服务器的多个调用,从而导致错误的做法?
如果没有,客户端将如何验证令牌,以及auth服务器的作用域是什么?
浏览 2提问于2016-07-22得票数 2
回答已采纳
1回答
我在.net Core2.0中用创建了一个演示应用程序--这是一个使用JWT令牌进行身份验证的示例,但我注意到,当我为一个用户创建一个令牌并将其替换为另一个用户创建的令牌(来自其他浏览器)时,它将验证并允许访问。为什么?另外,如果有人有一个有当前用户登录的JWT令牌的好例子,那么请分享这个链接,因为我是新手。
浏览 1提问于2018-06-20得票数 0
回答已采纳
当使用asp.net核心应用程序接口后端配置我的IdentityServer4 (使用身份)资源所有者授权流时,我想也许应该在JWT中省略"Name“声明,以确保用户安全?此声明不适用于IS4的开箱即用行为。
以前,我在我的IS4 Config.cs文件中为访问令牌添加了"Name“声明,如下所示:
var claims = new List<string>
{
JwtClaimTypes.Name
};
return new List<ApiResource>
{
new ApiResource("api1",
浏览 1提问于2017-05-29得票数 1
1回答
我正在尝试将我们的解决方案之一从Laravel/PHP系统迁移到基于.Net核心2的系统中。我的主要问题是授权和身份验证。
我有5个不同的应用程序向Api发送REST查询(例如,网络浏览器、iOS应用程序、安卓应用程序等)。我目前处理身份验证/授权的方式如下:
用户发送用户名/密码,以及应用程序Id。‘'Browser','iOS’等)以及应用程序描述(例如:“‘Chrome Jacob”,“iPhone-7-Jacob”)。
如果对App /已经存在令牌,则返回令牌。否则,将生成一个新的令牌,并将其保存在名为“Tokens”的数据库表中。
每个令牌可以有一
浏览 1提问于2018-12-03得票数 0
回答已采纳
我正在构建一个react应用程序,使用Auth0作为我的oauth身份验证,并使用ASP.NET核心api来支持它。
在React中,我将用户重定向到Auth0,我已经设置了一个单页面应用程序。
当登录成功时,它会使用代码将用户重定向回我的React应用程序。
然后,我想将该代码转换为JWT令牌,以授权访问后端api,这就是它失败的地方。
登录后,我使用Auth0提供的示例库并调用:
const { getTokenSilently } = useAuth0();
...
var token = await getTokenSilently();
...
axio
浏览 0提问于2020-01-11得票数 3
2回答
我正在使用keycloak为应用程序进行身份验证。我希望从keycloak生成的JWT令牌中删除领域访问。
拥有领域访问(角色)离子JWT令牌是一种糟糕的实践吗?
是否有一种方法可以从keycloak服务生成的JWT令牌中删除领域访问?
浏览 1提问于2019-08-30得票数 1
身份验证对我来说有点过头了。
我的理解是:
客户端执行登录。
API或身份验证服务器使用令牌进行响应。
客户端调用API (包括保存令牌的标头)
API检查令牌是否有效,以及是否有效地使用资源进行响应。
我检查了几个选项:
IdentityServer4
具有像Facebook这样易于实现第三方认证的优点。您可以很容易地根据角色使用ASP.NET核心标识来授权您的API。
定制(简单) JWT身份验证
参考资料:
使用这种方法,您必须创建自己的身份用户并从数据库中获取它。
Cookie认证
客户端在cookie中保存令牌,当发送请求时,您也必须发送它。
我的前端是用J
浏览 5提问于2016-11-11得票数 23
回答已采纳
我有一个现有的ASP.NET MVC5应用程序,它使用自定义的身份验证方案和使用ASP.NET_SessionId cookie存储状态的会话。
现在需要将React前端放在ASP.NET Core Web API的前面。有机会重用API中的一些服务代码。最重要的是身份验证。
是否可以重用/共享来自React web应用程序的现有cookie和身份验证方案?JWT和IdentityServer似乎是可靠的选择,但需要对现有系统进行重大重写。
浏览 4提问于2020-08-25得票数 0
我一直在阅读,因为它在OAuth中使用JWT (JSON令牌)。
在和中,它指出JWT可以用作授权赠款或客户端身份验证。
根据我的理解,身份验证是识别某个东西(这个用户是他声称的那个人),授权是检查一个用户是否被允许做他所要求的事情。
JWT作为授权授予是有意义的,因为请求是通过签名而隐式标识的。大多数支持此方法的API使用JWT作为授权授予。见和。
这让我很困惑。为什么需要JWT身份验证作为一个单独的东西?在什么情况下/用例下需要JWT身份验证?
浏览 2提问于2013-01-12得票数 5
1回答
微服务如何在异步通信中授权?
、、、、
我实现了在ASP.NET核心和UI中开发的一组微服务的身份验证和授权。相互作用/交流是指:
通过case)Micro-services网关(OCELOT)进行的UI <->微服务,授权是通过JWT完成的。(此<->微服务中没有问题,是异步的,并通过服务总线完成。
想知道如何使用JWT在2,Micro<->微服务中实现授权.这里不想通过基于证书的实现。虽然我们已经通过私有网络、白名单进行了一些保护,但考虑到深度的保护,但在考虑微服务之间异步通信的JWT过程中,我们也能实现授权吗?这样做是很好的做法吗?以及如何在这种情况下实现JWT。
浏览 2提问于2020-02-27得票数 1
回答已采纳
1回答
我正在构建两个独立的 ASP.Net WebApi应用程序,它将在同一个域(而不是子域)下运行,外加一个STS,它处理身份验证并将是用户帐户存储。
客户端与微风. to /angular.js连接到该API。因此,我认为JWT (JSON令牌)将是我对令牌的选择,因为我不想使用forms。
如何通过域名实现STS和应用程序之间的信任?我发现了一些WS联邦信任示例,但我认为这对我需要构建的内容来说太过分了。
浏览 3提问于2014-03-10得票数 0
回答已采纳
1回答
我刚开始学习身份验证和授权,并试图了解REST的JWT和OAuth。
我一直在做一些研究,但仍有几点不清楚:
JWT
令牌是否包含所有信息以验证请求是否安全?换句话说,当在服务器上生成令牌时,是否需要将它与用户名/ id一起保存在数据库中,以便与对API进行的每个后续调用进行验证?
JWT在HTTP上是否足够安全,还是需要HTTPS?
OAuth
据我所知,我可以使用OAuth将授权委托给第三方应用程序(Facebook为例)。如果身份验证成功,我将从身份验证调用接收一个令牌。然后,我可以使用这个令牌来传递对我的API的所有调用,因为令牌是由一个可信的第三方应用程序(Fac
浏览 4提问于2016-08-03得票数 0
回答已采纳
1回答
LDAP方案解释
、、、、
我试图系统地了解oauth + jwt + LDAP授权。我读过多篇优秀的文章(即),但仍有一些关于这方面的问题:
我的理解是:
JWT是允许单点登录(SSO)的令牌。它比简单的令牌更安全,因为它加密了所有特定于用户的信息(例如userName、密码、clientAppId、ip地址等)。此信息由内部授权服务器密钥签名,攻击者不能更改。
从,请看下面的短语。正如我所理解的,这意味着每个HTTP前端服务器都不需要查找会话数据。但是它需要查找授权服务器。有什么好处?这不是同一个单一的失败点吗?为什么JWT被认为是STATEless?JWT仍然需要将用户数据保存在权威服务器上,
浏览 2提问于2016-12-07得票数 11
回答已采纳
我有两个服务器和前端客户机:
在向客户端发出jwt令牌之后,一个服务器授权并对用户进行身份验证。
前端客户端还使用jwt令牌作为授权头访问第二个后端服务器。
JWT秘密在这两个服务器上是相同的(用SH256加密)。
问题:
是否有其他选择来保持令牌安全,并防止第三方javascripts对其进行强制处理?因为客户端从jwt令牌获得一些数据,所以http-only cookie不合适。
您认为现有流中存在一些安全缺陷吗?
浏览 0提问于2021-06-28得票数 2
1回答
在SAML和Kerberos身份验证模型中,可以清楚地了解哪些权威机构对用户进行了身份验证,并颁发了被下游系统信任的凭据。为了进行身份传播,下游系统模拟用户的权限可以在解决方案体系结构和相关的标识域内严格控制。
据我所知,SAML和Kerberos模型的完整性不是JWT方法的一部分。JWT似乎是一种提供与Kerberos非常相似的功能的机制,但没有定义的KDE的支持功能。
我是不是遗漏了什么?JWT是基于“信任网络”,还是每个JWT实现都负责定义自己的可信任身份验证机制等等?
浏览 0提问于2015-10-12得票数 6
回答已采纳
2回答
我有一个带有使用JWT的无状态身份验证模型的新SPA。我经常被要求将OAuth用于身份验证流程,比如要求我为每个请求发送“持有者令牌”,而不是简单的令牌头,但我确实认为OAuth比简单的基于JWT的身份验证复杂得多。主要的区别是什么,我应该让JWT身份验证的行为像OAuth一样吗?
我也使用JWT作为我的XSRF-TOKEN来阻止XSRF,但是我被要求将它们分开?我应该把它们分开吗?这里的任何帮助都将受到感谢,并可能为社区带来一套指导方针。
浏览 286提问于2016-10-07得票数 481
回答已采纳
我在Web项目中使用.NET Core3.1。在这方面,我使用了JWT身份验证。现在,我希望允许用户使用他们的移动号码登录或注册。因此,当用户输入移动电话号码时,将发送一个OTP,并且在验证OTP之后,我希望为用户发出JWT。现在,我对此有以下疑问:
,如果这个流是正确的,或者需要更改什么?,我应该把发送到用户移动号码的OTP存储在哪里?我应该创建一个单独的表来存储OTP和移动号码,还是应该在我使用ReactJs?的前端站点上管理它?
注意:我不能将身份验证机制从JWT更改为任何其他机制,因为我已经对它具有依赖关系。
浏览 2提问于2021-01-12得票数 1
回答已采纳
我使用身份服务器4进行身份验证,我的客户端应用程序之一是Asp.net核心MVC项目,以及用于某些ajax请求的一个web资源。
我需要从一些页面的Mvc客户端,调用web资源通过javascript ajax调用。如何通过JWT或Cookies来处理身份验证?如何通过JWT?
浏览 0提问于2020-01-01得票数 2
回答已采纳
我们正在开发与DocuSign的集成。我们使用嵌入式签名和JWT身份验证。我们从DocuSign合作伙伴解决方案团队收到信息,在JWT身份验证中,我们可以将访问令牌的过期时间设置为很长时间。
基于这些信息,我设计了解决方案,因此我们手动执行JWT身份验证流程:获得用户同意,生成JWT,将过期设置为一年,并使用它获得一个长期过期的访问令牌。
现在我们走出沙箱开始生产。我们正在测试该解决方案的30天跟踪生产帐户。我们得到了用户的同意。我生成JWT并将过期设置为不同的时间段(一天、一个月、一年),但是我总是得到一个只持续一个小时的访问令牌。
PS,我浏览了,它说明了关于JWT属性的如下内容:
默认
浏览 2提问于2020-01-19得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
