jwt相关内容

找不到401 JWT令牌

我提供了security.yaml文件的两个版本.根据 API平台文档的第二个版本. API平台发送到但是我认为这是JWT中的问题. 环境: 节点v8.9.4 chrome 64.0.3282.119 Ubuntu 16.04 axios版本:0.16.2 Vue.js 2.4.2 vue-axios 2.0.2 api-platform/api-pack:1.0 Sym ..
发布时间:2020-04-25 08:04:14 其他开发

Angular.js Post不向Spring JWT发送标头

我有一个由AngularJs构建的Web应用程序和一个由Spring构建的后端应用程序,我正在使用JWT来保护我的应用程序. 使用Get方法,一切正常,在后端级别,我得到了期望的承载令牌,因此我可以返回私有信息.但是使用POST方法时,不发送承载令牌. 我不知道这是后端层还是前端层的问题. 这里您有我的代码: AngularJS $http({ method: 'POS ..
发布时间:2020-04-25 08:04:10 Java开发

JWT-配置授权服务器并将发行者设置为自身

我正在尝试按照本指南设置授权服务器: http://bitoftech.net/2014/10/27/json-web-token-asp-net-web-api-2-jwt-owin-authorization-server/ 但是,我想将本地服务器(即运行项目的服务器)分配为 CustomJwtFormatting 的发布者.因此,在Startup.cs中,我使用: pub ..
发布时间:2020-04-25 08:04:00 C#/.NET

JWT是用户身份验证的安全选择吗?

我喜欢JWT的简单性,并在为Web应用实现身份验证机制时使用了它们,其中我有一个Elixir/Phoenix后端,该后端提供RESTful JSON API和Angular 2前端. 今天,我偶然发现了此文章(我绝不隶属于本网站),这使我对要讨论的JWT的使用产生了一些疑问.主要是: 在不关闭JWT的情况下,没有真正的方法使JWT失效 整个系统.至少当他们是无国籍的时候. 这意味着您 ..
发布时间:2020-04-25 08:03:53 其他开发

Json Web令牌(JWT)如何真正减少“人在循环中"的攻击?

我试图了解JWT,并在网上冲浪各种资源.我找到了显示如何检查JWT是否回火的代码-这是一个很棒的代码,我理解. 但是,我不明白中间人如何使用JWT,中间人既可以查看浏览器数据(认为是图书馆中的公共计算机),也可以嗅探连线(我想这可以避免)通过HTTPS)获取GWT字符串,然后从另一台计算机重播. https://float-middle.com/json-web -tokens-jwt ..
发布时间:2020-04-25 08:03:49 其他开发

与kong集成的微服务的用户注册+身份验证

我正在开发基于微服务的node.js应用程序.开发了各个微服务,包括已经处理过身份验证,授权和注册过程的微服务.我正在审查使用kong作为api网关,但是正在寻找有关如何通过kong处理身份验证等方面的说明,但是仍然使用我已经创建的用户服务,该用户服务已经与db相关联. 理想情况下,如果可以将身份验证信息传递到用户服务以验证用户的登录凭据(用户名和密码),并且如果身份验证成功,则可以让kon ..
发布时间:2020-04-25 08:03:41 其他开发

任何人都可以在没有密钥的情况下解码JSON Web令牌(JWT)吗?

我是这个域的新手,但是我试图使用 JWT nuget包生成一个JWT . 我的理解是,您提供了一个用于对令牌进行签名的秘密密钥,但是当我获得令牌时,我去了 JWT网站对其进行测试,而网站无需我提供密钥即可对其进行解码. 我认为您先生成令牌,然后对它签名,从而阻止任何人知道令牌的内容,除非他们拥有该秘密密钥.不是吗? 解决方案 JSON Web令牌是数据结构的编码表示形式.不需要 ..
发布时间:2020-04-25 08:03:37 C#/.NET

尝试连接到Google API的Google Oauth时无效的JWT

我试图通过JWT通过OAuth连接到Google API,但是我一直收到此错误: {"error":"invalid_grant","error_description":“无效的JWT:令牌必须是短期令牌并且在合理的时间范围内"} 在我的JWT calim中,我将iat设置为当前时间减去1970-01-01(以秒为单位),并将exp设置为iat + 3600,所以我不知道为什么我仍然 ..
发布时间:2020-04-25 08:03:33 其他开发

如何跨不同的API验证JSON Web令牌(JWT)?

我已经基于PHP Slim框架创建了一个Rest API,该框架使用JSON Web令牌(JWT)对访问进行身份验证和授权. 要使用API​​,客户端必须首先通过将其凭据发送到特殊的/auth/token路由进行身份验证,如果正确,该路由将返回包含允许权限列表的数字签名令牌.对API的所有后续请求都需要令牌进行身份验证和授权.这是相当标准的东西,效果很好. 但是现在我现在想将/auth ..
发布时间:2020-04-25 08:03:29 其他开发

对于浏览器,Firebase Auth的本地(持久身份验证状态)是否不受XSS和CSRF的保护吗?

我正在将Firebase Auth用于涉及金融交易的Web应用程序.因此,安全性对于我的应用程序来说是最重要的.根据此文档,Firebase可以跨多个持久化其令牌通过将其存储在某个位置来进行会话.它没有提到XSS的安全性.当然,我可以假设它是安全的,因为它是Google,但我想进一步了解它. 我们都读过一些文章,指出localStorage对于存储身份验证是不安全的,而cookie + cs ..
发布时间:2020-04-25 08:03:27 其他开发

ASP.Net Core MVC/API/SignalR-更改身份验证方案(Cookie& JWT)

我有一个.Net Core 2.2 Web应用程序MVC,其中添加了API控制器和SignalR集线器.另一方面,我有一个移动应用程序,它调用了中心方法.从应用程序调用集线器之前,我正在通过API调用对用户进行身份验证-返回JWT令牌-并将此令牌用于将来的请求,这样我就可以在集线器方法中使用Context.User.Identity.Name: public static async Tas ..
发布时间:2020-04-25 08:03:23 其他开发

使用来自"jwks_uri"的值来验证从天蓝色广告b2c接收到的令牌.终点

我正在从效用服务中获取azure广告访问令牌,我想使用一些标准的令牌验证参数(包括发行者,受众和发行者签名密钥)对其进行验证.现在我拥有发行者和受众,但我没有发行人签名密钥. 但是我使用azure ad b2c的jwks_uri端点提取了关键信息,这为我提供了json输出 { "keys": [ { "kid": "X5eXk4xyojNFum1kl2Ytv8d ..
发布时间:2020-04-25 08:03:17 其他开发

JWT解码尝试捕获

我在我的小型项目中使用JWT进行授权(REST API). JWT看起来非常适合我的项目. 假设我有以下代码: $key = "secret"; $token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA9 ..
发布时间:2020-04-25 08:03:13 PHP

Android JWT在签名时解析有效负载/声明

我有一个从服务器获取的带签名的JWT字符串.我不知道密钥,或者我不想将密钥放在客户端/设备上. 在使用带有我的令牌的网站时: https://jwt.io/我得到了预期的结果我的标头和有效载荷信息. 我无法在android上找到可以执行本网站功能的库,并且我已经尝试了所有可以找到的库.最公认的使用方法是: https://github.com/jwtk/jjwt 但是,这给了我一 ..
发布时间:2020-04-25 08:03:07 Java开发

使用JWT缺少授权标头

我正在尝试设置JSON Web令牌,以通过移动应用程序与我的php后端进行通信.我可以要求一个令牌.当我需要验证它(或向另一个端点发出请求)时,我可以使用以下格式设置Authorization标头: Bearer 但是由于某种原因,我的后端未设置$_SERVER['HTTP_AUTHORIZATION']. 我在使用PHP 7的Mamp Pro的本地主机上 ..
发布时间:2020-04-25 08:03:03 PHP