jwt相关内容

Laravel JWT Auth 在登录时获取用户

是否可以使用 https://github.com/tymondesigns/jwt-auth获取当前用户?因为现在我只能生成一个令牌(当用户登录时). 公共函数登录(Request $request){$credentials = $request->only('email', 'password');尝试 {if (!$token = JWTAuth::attempt($credential ..
发布时间:2022-01-10 09:22:40 PHP

具有单页应用刷新访问令牌的 Oauth2 隐式流

我正在使用 Thinktecture AuthorizationServer (AS),它运行良好. 我想写一个可以直接调用 WebAPI 的原生 javascript 单页应用,但是隐式流不提供刷新令牌. 如果进行 AJAX 调用,如果令牌已过期,API 将发送重定向到登录页面,因为数据使用动态弹出窗口,这将中断用户. Facebook 或 Stackoverflow 如何做到 ..
发布时间:2022-01-10 09:22:24 前端开发

Supertest,测试安全的 REST API

我正在为受 jwt 保护的 REST API 编写集成测试.一个 API 操作 POST /user/token 返回一个 jwt 给定一个 username 和一个 password 并且这个令牌是然后用于操作列表,例如: GET/user/:id 路由在哪里使用jwt({secret:secret.secretToken}),所以token包含在HTTP头Authorization中. ..
发布时间:2022-01-10 09:22:14 其他开发

AWS cognito:访问令牌和身份令牌有什么区别?

只需阅读 docs,它们看起来与我非常相似,所以我无法辨别为什么要使用其中一个.虽然身份令牌看起来更好,因为它具有来自用户池的自定义属性(例如:custom:blah 和默认属性,如 name 和 email). 现在,我正在使用一个将访问令牌传回浏览器的应用程序,以便它可以使用它来进行 ajax REST 调用(有一个身份验证过滤器需要此访问令牌并对其进行验证).我可以用 id 令牌切换访 ..
发布时间:2022-01-10 09:22:08 其他开发

在 JWT.IO 中验证签名

我已生成以下令牌并尝试使用 http://jwt.io 验证签名我还附上了我的 jwks 端点的内容,其中应该包含我需要验证的所有详细信息. 所以我的问题是:如何在 jwt.io 网站上说明签名有效?我是否缺少证书链参数的一些转换? 这里是 规范 jwks 供参考. eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImEzck1VZ01Gd ..
发布时间:2022-01-10 09:22:00 其他开发

HTTPS 通信是否需要 JWT?

我正在开发一个 MEAN 堆栈应用程序,并且我目前正在设置一个帐户系统.我看过几个关于身份验证的教程,都使用 JWT.我还发现 JWT 是一种通过 HTTP 等非安全连接保护通信传输的好方法. 我已设置 HTTPS 以从我的 Angular 4 前端通信到我的 NodeJS + Express 后端,因此想知道是否需要 JWT 来保护我的通信? 解决方案 现在开发者更喜欢基于 Tok ..
发布时间:2022-01-10 09:21:51 其他开发

python-social-auth 是否需要会话

我正在构建一个带有 API 后端(使用 DRF 构建)和 angularjs 客户端的 django 应用程序.我的目标是使用 JWT 代替会话完全解耦服务器和客户端.我正在尝试将 python-social-auth(PSA) 与 django-rest-framework-jwt(DRFJWT),所以我的目标是让身份验证流向这个: 用户通过 Angular 客户端使用电子邮件/faceb ..
发布时间:2022-01-10 09:21:43 Python

如何使用 Axios & 传递 Header JWT Token反应?

我使用 React、Express、MongoDB 制作 Web 应用程序. 而且,我想通过标头传递 jwt 令牌. 但是,我通过了,得到 401 错误(未经授权). 在登录 actions.js 中: 导出函数登录(用户名,密码){返回函数(调度){axios.post(`${API_URL}/auth/login`, {用户名,密码}).then(res => {调度(登录 ..
发布时间:2022-01-10 09:21:37 其他开发

JWT 验证客户端?

我有一个带有角度前端的 nodejs api.API 成功地使用带有护照的 JWT 来保护它的端点. 我现在意识到,在令牌过期后,我的前端仍将允许用户请求我的 api 端点,而不会提示他们重新输入登录详细信息以获取新令牌. 这是我的后端生成令牌的方式: 函数 generateToken(user) {返回 jwt.sign(用户,秘密,{expiresIn: 10080//以秒为单位 ..
发布时间:2022-01-10 09:21:18 其他开发

如何将 JWT 令牌存储在仅限 HTTP 的 cookie 中?

我创建了一个应用程序,它仅使用服务器根据正确的登录凭据发送的 JWT,并针对我的后端 Express.js 服务器上的任何 /api 路由进行授权. 另一方面,AngularJS 获取此令牌,将其存储在会话存储中,并使用身份验证拦截器将令牌发送回服务器. 我最近才明白这种做法有多危险. 我了解在这种情况下来回传输令牌的方法.但是,如果您想将该 JWT 存储在客户端 Javascr ..
发布时间:2022-01-10 09:21:12 其他开发

JWT 和 Web API (JwtAuthForWebAPI?) - 寻找示例

我有一个以 Angular 为前端的 Web API 项目,我想使用 JWT 令牌保护它.我已经进行了用户/通行证验证,所以我认为我只需要实现 JWT 部分. 我相信我已经选择了 JwtAuthForWebAPI,所以一个使用它的例子会很棒. 我假设任何没有用 [Authorize] 修饰的方法都会像往常一样运行,并且如果客户端传递的令牌不匹配,任何用 [Authorize] 修饰的方 ..
发布时间:2022-01-10 09:21:02 C#/.NET

“秘密"应该是什么?在智威汤逊?

我打算将 JWT 应用到我使用 Java-Jersey 开发的 REST API 中.我正在将此库用于 JWT - https://github.com/auth0/java-jwt 我对 JWT - Secret 有几个问题 这个 Secret 必须是唯一的吗? 我应该使用用户密码的散列版本来保密吗?(那么无论如何它都不是唯一的)这是因为当用户更改密码时,他的令牌将自动失效. ..
发布时间:2022-01-10 09:20:55 Java开发

jwt 检查令牌是否过期

我已经像这样配置了令牌: jwt.sign({用户:挑选(用户,['_id','用户名'])},秘密,{expiresIn: '2m'}); 但是当我想检查令牌是否过期时,这段代码不起作用 function isAuthenticated() {const token = localStorage.getItem('token');常量 refreshToken = localStorage ..
发布时间:2022-01-10 09:20:48 前端开发

cookie 是否保护令牌免受 XSS 攻击?

我正在为基于浏览器的 Javascript Web 应用程序构建基于 JWT(JSON Web 令牌)的身份验证机制,使用无状态服务器(无用户会话!),我想一劳永逸地知道,如果使用将我的 JWT 令牌存储在 cookie 中将保护我的令牌免受 XSS 攻击,或者如果没有保护,那么在我的 Javascript 应用程序中使用浏览器本地存储并没有真正的优势. 我在 SO 和许多博客中看到过这个问 ..
发布时间:2022-01-10 09:20:20 前端开发

处理到期/“记住我"JWT 的功能

从概念上讲,我真的很喜欢 JWT,因为它符合 REST 等的无状态性(服务器端没有保存状态,所有相关数据都包含在令牌中). 我不确定的是:在未连接时您将如何处理令牌到期(即“记住我"功能)? 网络上出现了关于 JWT 的新报道,但我还没有找到任何人回答过期问题. 澄清:我不是在问如何处理即将过期的令牌,而是在令牌已经过期时该怎么办(用户关闭网站/应用程序一段时间).我想到的最简单 ..
发布时间:2022-01-10 09:20:15 其他开发

如何在节点应用程序中解码 google OAuth 2.0 JWT (OpenID Connect)?

我在这里尝试使用 google OAuth 对我的 node express 应用中的用户进行身份验证时遇到了麻烦.我可以成功执行 OAuth,它会返回如下响应: {access_token: '令牌字符串',id_token: 'id.string',expires_in: 3599,token_type: "承载者"} 这一切都说得通,但我终其一生都无法弄清楚如何解码 JWT.我对这一切有 ..
发布时间:2022-01-10 09:20:09 其他开发

如何在 JWT 中使用 jti 声明

JWT 规范提到了一个据称据称是 jti 的声明可以用作随机数来防止重放攻击: “jti"(JWT ID) 声明为 JWT 提供唯一标识符.标识符值的分配方式必须确保相同的值被意外分配给不同的数据对象的可能性可以忽略不计;如果应用程序使用多个发行者,则必须防止不同发行者产生的值之间的冲突.“jti"声明可用于防止 JWT 被重放.“jti"value 是区分大小写的字符串.使用此声明是可选的 ..
发布时间:2022-01-10 09:19:51 其他开发