C++ JWT令牌在与其他代码链接时立即过期
基础概念
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间安全地将信息作为JSON对象传输。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。这三部分通过点号(.)连接成一个字符串。
相关优势
- 无状态:服务器不需要存储会话信息,减轻了服务器的负担。
- 安全性:通过签名确保数据不被篡改。
- 跨域认证:支持跨域请求,适用于分布式系统。
类型
- 访问令牌(Access Token):用于访问资源。
- 刷新令牌(Refresh Token):用于获取新的访问令牌。
应用场景
- 身份验证:用户登录后,服务器生成JWT并返回给客户端,客户端在后续请求中携带此令牌。
- 信息交换:在客户端和服务器之间安全地传输信息。
问题分析
C++ JWT令牌在与其他代码链接时立即过期,可能是以下几个原因:
- 过期时间设置过短:JWT的过期时间(
exp)设置得太短,导致令牌很快过期。 - 时钟不同步:客户端和服务器的时钟不同步,导致服务器认为令牌已经过期。
- 令牌被篡改:令牌在传输过程中被篡改,导致签名验证失败。
解决方法
1. 检查过期时间
确保JWT的过期时间设置合理。例如,设置一个小时:
#include <jwt-cpp/jwt.h>
auto token = jwt::create()
.set_issuer("example.com")
.set_issued_at(std::chrono::system_clock::now())
.set_expires_at(std::chrono::system_clock::now() + std::chrono::hours{1})
.sign(jwt::algorithm::hs256{"secret"});2. 校准时钟
确保客户端和服务器的时钟同步。可以使用NTP(Network Time Protocol)进行校准。
3. 验证令牌签名
在服务器端验证JWT的签名,确保令牌未被篡改:
#include <jwt-cpp/jwt.h>
try {
auto decoded_token = jwt::decode(token);
jwt::verify()
.allow_algorithm(jwt::algorithm::hs256{"secret"})
.with_issuer("example.com")
.verify(decoded_token);
} catch (const std::exception& e) {
std::cerr << "Token verification failed: " << e.what() << std::endl;
}参考链接
通过以上方法,可以有效解决C++ JWT令牌在与其他代码链接时立即过期的问题。
相关·内容
1回答
我正在使用这个JWT令牌library。在我编译它并将其与另一个C++项目链接之前,它与C++ Restbed库一起工作得很好。另一个项目有点机密,所以我不能显示代码,但是当我使用Restbed和JWT令牌实现编译它时,JWT令牌立即过期。即使我不调用其他项目中的任何内容,只需将它的.cpp文件与</e
浏览 39提问于2021-11-20得票数 0
2回答
基于JWT令牌会话。此时,我正在生成UUID令牌,并将其与过期字段一起保存到数据库中。用户重置其密码或令牌过期后,该令牌将失效。crontab会在每个午夜删除无效的令牌,以保持数据库的干净。
有没有其他方法可以做到这一点?也许不需要使用数据库?我在考虑将令牌
浏览 26提问于2020-02-16得票数 1
1回答
关于JWT实现的几点思考
、、、
这些细节经过验证,并创建了一个令牌,其中包含:"iat“在"exp”到期30分钟前发出的“iat”原始创建时间。如果发现存在JWT,则创建自己的JWT(使用API所知道的相同秘密签名)。它使用原始JWT (即将过期)作为有效负载对象,然后将其发送到auth /r
浏览 0提问于2016-04-08得票数 4
1回答
我刚刚发现我在使用auth0时遇到了一个问题,它与auth0配置受众有关。因此,当我显式写入访问者时,JWT验证失败并返回错误The provided Algorithm doesn't match the one defined in the JWT's Header.。当我不写入访问者时,一切都会正常工作,除了现在每次令牌过期,用户单击登录链接时,它会跳过登录过程,并立即使用
浏览 37提问于2019-03-25得票数 1
3回答
我引用了另一篇关于如何使用JWT刷新令牌的文章。
我希望我的JWT身份验证具有以下属性:
如果我要使用刷新<
浏览 9提问于2015-08-17得票数 91
3回答
主要关注的是,提供给我们的JWT令牌将在调用完成之前过期。(这是在同步设计中)这里有三项建议:客户端应用程序同时发送JWT和刷新令牌。如果JWT过期,请使用刷新令牌获取新令牌,并通过令牌提供程序将其
浏览 0提问于2018-02-19得票数 6
我正在开发一个谷歌行动,并添加帐户链接
帐户链接工作完美,但24小时后,我的谷歌操作提示用户“再次链接帐户
浏览 13提问于2020-02-12得票数 2
回答已采纳
我想知道在更改密码/注销时在不访问db的情况下使JWT失效的最佳实践。但是,这2种情况是以每次用户访问api时访问用户db为代价的。任何最好的练习都会受到赞赏。
浏览 0提问于2015-02-27得票数 8
3回答
它们包括用户ID、过期exp声明和其他几个自定义声明。JWT在30分钟内到期,JWT cookie在7天内到期。CSRF令牌在登录和发布新的JWT时在响应体中发送。CSRF令牌存储在浏览器的localStorage中。它与每个请求一起发送,并根据JWT中的值进行验证。登录时发送并存储在localStorage中
浏览 0提问于2016-08-12得票数 14
虽然我了解jwt用于身份验证的工作方式,但我正在尝试构建注册。
这是我目前的流程:
我不知道代码是否属于用户,因为我没有将<em
浏览 0提问于2018-07-15得票数 0
401,但是客户端应用程序仍然使用相同的令牌。就像这样:现在,问题(在前面的第4步之后)
cookies)Changing停止调试,但保持浏览器正常运行(保持代码,实现新的东西(基本上是传递了一些时间),再次在已经打开的浏览器上使用相同的会话/cookie启动调试,尝试在应用程序上导航很好,并且不需要新的loginNavigating我发现令牌</e
浏览 3提问于2020-04-22得票数 0
回答已采纳
即当用户收到链接时,他们可以简单地单击它并填写表单,而无需登录,但在幕后,用户实际上是使用Json Web令牌进行身份验证的。理想情况下,我希望链接永远不会过期,或可能在1年后,所以用户可以使用该链接6个月的道路,该链接将仍然无缝地为用户工作。最明显的解决方案是在管理员生成链接时生成一个过期时间较长的JWT令牌,并将该令牌包含在发送给用户的url
浏览 1提问于2019-08-24得票数 0
2回答
我有一个自定义的Authorize类,用于在用户从服务器请求数据或任何东西时使令牌失效。public static string GenerateToken(User user
浏览 0提问于2019-02-11得票数 1
回答已采纳
我正在使用Laravel & JWT进行身份验证,但我有一些问题。
{
$credentials = request([
浏览 4提问于2020-09-04得票数 4
回答已采纳
1回答
双JWT提交方法
、、、、
我通过使用double submit方法来实现我的JWT方法:在这里,我们将JWT的有效载荷和头部分与签名分开。标头和有效载荷存储在单独的cookie中,而不是HttpOnly,因此客户端可以访问它,签名是HttpOnly。
这个实现看起来很直接,但是我在理解refresh是如何工作的方面有一个问题。例如,由于我使用的是firebase,用户jwt令牌的到期时间为1小时。当该标记过期时,我们需要自动刷新令牌,但这意味
浏览 0提问于2020-03-05得票数 2
2回答
我正在创建一个应用程序,在这个应用程序中我使用JWT来维护会话。当任何新用户注册时,我将向用户提供一个JWT令牌,并将其存储在我的数据库和用户浏览器中。当用户注销时,我将从浏览器和我的数据库中删除该令牌。
但是我希望,如果用户是从多个设备登录的,那么它将从一个设备登录,而不是从其他设备登录。我怎样才能做到这一点?
浏览 5提问于2016-08-22得票数 4
回答已采纳
2回答
到目前为止,我一直在使用传统的用户名/密码方法。但是我想去掉用于用户身份验证的密码。这将避免担心薄弱,被盗和被遗忘的密码。我想创建一个没有密码的注册和使用神奇链接的登录,但我不知道我的方法与传统的方法相比是合适的还是太冒险的:签名:与注册过程
浏览 0提问于2022-01-11得票数 1
3回答
当用户注册一个新帐户时,我试图实现到我发送到用户电子邮件的激活链接的过期。
如果用户不点击链接,该链接将在24小时后过期。但就像我说的,我希望链接在24小时后过期,我只是不知道该怎么做。根据我到目前为止收集到的信息,我认为一种方法是在24小时后从我的用户实体/模型中删除verificationKey值,如果verificationKey值是错误的,那么我需要向用户发送另一
浏览 0提问于2019-07-14得票数 2
3回答
我为我的Spring引导应用程序实现了JWT身份验证。总的来说,它的工作方式如下:
res.addHeader(HEADER_STRING, TOKEN_PREFIX
浏览 4提问于2017-04-23得票数 12
回答已采纳
我在我的节点js应用程序中使用JWT token进行身份验证,当生成一个新的token时,我在DB中使用字段custid,token,sessionValid(布尔值)进行更新。现在我已经将令牌过期时间设置为5 minutes.So,一旦令牌过期,它应该自动更新数据库记录,并将sessionValid转换为false.Here。下面是我如何生成令牌的代码router.p
浏览 1提问于2018-02-01得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
