-
0 votesanswersviews
ExpressJS / Angular 2 JWT令牌
我的前端有一个运行ng2(rc4)的ExpressJS API . 我目前正在阅读如何使用JWT保护API上的某些 endpoints . 目前,我可以从前端发送登录请求,检查并检查,如果有效,则在响应中传回JWT . 然后我将其添加到本地存储 . 对于每个请求,我然后在 Headers 中传递令牌 . 如果我在响应中收到403,我计划将用户重定向到登录页面 . 我目前的问题在于,当我将请求传递... -
2 votesanswersviews
针对过期JWT的React-redux和React Native错误处理
我有一个系统,其中身份验证基于JWT . 我有一个JWT身份验证令牌,以及客户端上的刷新令牌 . 刷新令牌存储在服务器上的数据库中,用于在JWT每12小时到期后刷新JWT - 我相信这是相当标准的设置 . 我的问题是将它合并到我的React Native项目中并处理令牌过期 . 用户可能会对需要JWT的“受保护”区域执行许多API调用,但是一旦JWT到期,它将发回“UnauthorizedErr... -
3 votesanswersviews
express-jwt将用户对象设置为req.user._doc而不仅仅是req.user?
我过去使用过npm包express-jwt来进行简单的JWT签名,解码等 . 通常(和according to the docs)它拦截请求,用用户对象有效负载解码令牌并将 req.user 设置为该有效负载 . 但是,这一次显示 req.user 看起来像这样: { '$__': { strictMode: true, getters: {}, wasPopulate... -
170 votesanswersviews
如果你能解码JWT它们如何安全?
我爱JWT . 合作真的很有趣 . 我的问题是:如果我得到JWT并且我可以解码有效载荷,那么它是如何安全的?我不能只是从 Headers 中获取令牌,解码并更改有效负载中的用户信息,并使用相同的正确编码密码将其发回? 我知道他们必须是安全的,但我真的很想了解这些技术 . 我错过了什么?谢谢! -
42 votesanswersviews
JSON Web令牌(JWT)优于数据库会话令牌
使用数据库会话令牌系统,我可以使用用户名/密码进行用户登录,服务器可以生成令牌(例如uuid)并将其存储在数据库中并将该令牌返回给客户端 . 来自其上的每个请求都将包括令牌,并且服务器将查询令牌是否有效以及它属于哪个用户 . 使用JWT,由于保留在服务器上的密钥和客户端保留并随每个请求发送的签名令牌的组合,因此无需为会话/令牌保存任何数据库 . 这很好但除了保存数据库之外还检查每个请求(无论如何它...