-
0 votesanswersviews
在Java API中使用Lagom中的jwt库
我想在Lagom中使用JWT库,但我不确定要使用哪个库 . 我使用带有Java api的Lagom . 我发现: Java库,但它们都是通过gradle公开的 Scala库,但是当我在Lagom中使用Java api时,我不确定如何使用它们 . 有帮助吗? -
16 votesanswersviews
Spring Cloud Zuul JWT for Value / Reference Tokens
在阅读文章 How To Control User Identity Within Microservices 后,我一直在尝试实现这样的访问控制方案(值和参考标记),但在经历了与Spring Security OAuth Zuul相关的GitHub中的多个其他主题和示例之后,我找不到具体的例子 . 这可以实现 . 所有涉及JWT的示例都会在返回令牌时返回用户详细信息,这就是我想要避免的 . 用户... -
0 votesanswersviews
Laravel保护的API路由响应返回HTML而不是JSON
我使用来自此源的基于令牌的身份验证创建了一个Laravel / React应用程序:https://medium.com/@Gbxnga/token-based-authentication-with-react-and-laravel-restful-api-83f16581e85但每次我尝试从受保护资源获取数据时,我都会将HTML作为响应而不是JSON . 我使用他们的中间件来保护我的API调... -
0 votesanswersviews
Nuxt.js nuxt-auth模块刷新jwt
我在nuxt.js上有前端服务器,在django上有django-rest-framework后端 . 任何人都可以给我一个使用nuxt-auth本地策略刷新jwt令牌的例子吗?我在vuex商店尝试保存令牌,但此代码返回undefined var dr = await this.$auth .loginWith('local', { data: { userna... -
1 votesanswersviews
安全性 - JWT和Oauth2(刷新令牌)
我有一个角度客户端应用程序和.net web api服务器 . 我试图了解如何使用令牌以最佳方式实现安全性 . 我想了几个选项,我不知道哪一个是最好的,或者是否有更好的方法 . JWT有效期 1.用户凭证登录 - >服务器返回有效期的JWT(例如离登录时间60分钟) . 服务器在60分钟内向服务器发出的每个有效请求都会返回一个新的JWT令牌,新的60分钟到期 . 如果用户在60分钟内未发送服... -
-1 votesanswersviews
如何处理角度4中的安全会话
我是角度4的新手 . 我的问题是如何处理angular4中的安全性 . 我正在使用rest web服务和JWT令牌来获取用户信息 . 我的登录流程是: 用户登录 - >返回JWT令牌 - >存储在本地存储/会话存储中 . 将此JWT令牌发送给每个请求 . 现在,如果我在其他浏览器中复制此令牌,它将显示其他用户的信息 . 所以我想如果用户将粘贴令牌复制到其他浏览器/私有窗口然后用户l... -
391 votesanswersviews
JWT(JSON Web Token)自动延长到期时间
我想为我们的新REST API实现基于JWT的身份验证 . 但是由于在令牌中设置了到期,是否可以自动延长它?我不希望用户在每X分钟后需要登录,如果他们在那段时间内积极使用该应用程序 . 这将是一个巨大的用户体验失败 . 但是延长过期会创建一个新令牌(旧令牌在到期之前仍然有效) . 每次请求后生成一个新令牌对我来说都是愚蠢的 . 当多个令牌同时有效时,听起来像是一个安全问题 . 当然,我可以使用黑名... -
3 votesanswersviews
使用OpenId Connect进行基于声明的身份验证
我正在使用ASP.NET Core与OpenIddict,JWT,资源所有者授予和基于声明的角色 . 未执行任何策略的授权正如预期的那样工作 . 我想对某些控制器和操作方法强制执行授权策略 . 我的所有用户都有角色声明,因此我在启动时执行了以下操作: services.AddAuthorization(options => { options.AddPolicy("Admi... -
3 votesanswersviews
JWT访问令牌与刷新令牌(创建)
我正在创建一个Asp.net核心REST服务 . 目前正在通过JWT承载令牌进行身份验证 . 现在,我的代码看起来像: DateTimeOffset dtNow = DateTime.Now; Claim[] claims = new Claim[] { new Claim(JwtRegisteredClaimNames.Sub, strU... -
3 votesanswersviews
请求标头中的JWT与接收.Net Core API不同
当我从Angular应用程序向我的.Net Core 2 API发出请求时,JWT与请求标头中发送的请求不同 . Startup.cs public class Startup { public Startup(IHostingEnvironment env) { var builder = new ConfigurationBuilder() ... -
1 votesanswersviews
ASP.NET核心JWT和声明
我有一个关于ASP.NET核心和声明中的JWT身份验证的问题,因为我不知道我是否正确地获取了所有内容 . 当我在ASP.NET中创建一个JWT令牌时,我添加了一些声明,其中一些声明可以自定义 . 将带有JWT令牌的请求从客户端发送到API时会发生什么 . User.Claims如何填写?它是否使用从JWT读取的声明? 我想创建一个自定义身份提供者(不想使用ASP.NET提供的这个),我自己的表用... -
1 votesanswersviews
正确使用JSON Web令牌
在澄清了一些想法之后,这个问题更侧重于正确使用JWT . 设's talk about only encoded (not encrypted) JWTs, and let'仅考虑使用对称密钥的 HMAC ,让我们称之为 p@$$w0rd ,它将用于签署JWT . We know that JWTs should not contain sensitive information as they ... -
0 votesanswersviews
基于JWT Token的授权,具有用户权限Asp.net core 2.0
我已经创建了一个JWT令牌,声明为权限读取或写入或删除,如下图所示 . 现在,管理员/普通用户都登录到系统 . 管理员和普通用户获取令牌并存储在本地存储中 . 普通用户第一次无法获得读/写/创建/删除UI控件 . 令牌过期时间为2分钟 . 现在,管理员更改了数据库中普通用户的权限,如下所示. 因为,普通用户的令牌不会过期 . 他仍然无法读写 . 如果令牌过期然后用户再次登录,则逻辑有效,然后他可... -
0 votesanswersviews
自定义过滤器不能在 spring 安全和 spring 调用自己的过滤器每次
使用spring security我正在尝试配置或调用自定义过滤器,但它会自动调用其预定义过滤器而不是自定义过滤器 . 基本上当我从邮递员发送请求时, spring 安全性不会检测到自定义过滤器,并且内置过滤器无法正常工作 . 自定义过滤器的配置类的代码是 package com.security.config; import java.util.ArrayList; import java.u... -
0 votesanswersviews
Angular2登录服务jwt令牌
我尝试用angular2前端实现jwt标记 . 当我尝试使用Postman使用post方法接收令牌时,我收到授权令牌,但在Angular中这样做会返回null响应对象 . 这是我使用的Angular服务的代码片段 . return this.http.post(this.authUrl, { username: username, password: password }) ... -
0 votesanswersviews
角度保护canActivate方法不适用于Observable <boolean>
我正在尝试在访问路由之前验证后端的令牌 这是我的身份验证服务: export class AuthService { private registerUrl = 'http://127.0.0.1:3000/register'; private loginUrl = 'http://127.0.0.1:3000/signin'; private verifyTokenUrl = 'h... -
1 votesanswersviews
Ember数据django rest适配器授权jwt
我'm using ember-simple-auth and ember-simple-auth-token to implement a client side session mechanism. My backend is writtend in django(DRF + DRF jwt) and I'使用ember-django-adapter . 我定义了一个路由用户,一个模型用户但是... -
6 votesanswersviews
Django Rest框架JWT认证测试
我正在设置DRF以使用JWT令牌认证 . 我似乎在DRF-JWT表示它正常工作,但我无法通过登录测试成功运行 . 我已经完成了django-rest-framework-jwt docs中的安装步骤,并且我能够成功运行卷曲 $ curl -X POST -d "username=admin&password=abc123" http://localhost:8000/a... -
1 votesanswersviews
JWT Token和CSRF
关于JWT和CSRF合作,我仍然不清楚 . 我理解JWT的基本原理(它是什么以及它是如何工作的) . 当与会话一起使用时,我也理解CSRF . 同样地,我知道将JWT存储在localStorage中存在风险,这就是您需要csrf令牌的原因 . 所以我的问题是,我如何使用它们 . 为简单起见,我说我有一个登录页面 . 1)我有用户登录,一旦消费了电子邮件和密码,如果用户通过身份验证,服务器将发送CS... -
3 votesanswersviews
使用Node.js中的express-jwt标记保护非api(res.render)路由
首先,我已经阅读了有关使用jwt(express-jwt和jsonwebtoken)保护REST API路由的所有教程,并且它可以正常工作 . 这很好用: app.use('/api', postApiRoute); 这也有用,我的意思是..当我使用它来显示带有角度http请求调用的网页时它确实验证了令牌,但是当你添加 expressJwt({secret: secret.secretToken... -
0 votesanswersviews
Laravel 5.3 API路由不保存请求之间的会话
我试图通过Laravel的5.3 API路由逻辑和JWT构建一个静态HTML查看器 . 这些文件都存储在S3上,需要加以保护,所以我认为最好的方法是制作一种所有文件都通过的代理 . 这样我就可以从API请求中检查用户的令牌并相应地加载文件 . 第一个文件加载正常 . http://example.com/api/proxy/file.html?token={token} 当HTML文件尝试从自身... -
0 votesanswersviews
访问受保护的路线
我刚开始使用 JWT . 我执行 login 并将 token 作为 JSON response 发送到 client . 在 successful login 我将它存储到 sessionStorage 然后我使用该令牌通过另一个 ajax call(GET) 的 Headers 访问 protected route ,成功后将重定向到该页面 . 我开始保护 directly route... -
2 votesanswersviews
在成功进行NodeJS身份验证后使用Nginx提供静态内容
Context: 我正在尝试构建一个Web应用程序,其中Nginx充当前端服务器,也作为后端的NodeJS服务器的代理 . 我想通过适当的身份验证机制来限制对webapp功能部分的访问 . 身份验证逻辑由NodeJS服务器处理,并使用JWT来处理相同的事件 . Current flow: 静态登录页面显示给Nginx提供服务的用户 . 用户凭证被发送到Nginx服务器,该服务器被转发到处理... -
0 votesanswersviews
JWT与django集成
我是Django(不是DRF)的新手,我很难配置我的身份验证要求 . 我有一个外部身份验证服务,获取用户名和密码并返回JWT . 在我拥有JWT之后,我应该如何保存令牌并向浏览器提供每个请求 . 之后我可以在哪里验证它? 谢谢! -
8 votesanswersviews
django管理页面和JWT
我们正在使用带有django-rest-framework-jwt的django-rest-framework进行身份验证,它除了在 ip:port/admin/ 的django管理页面以外的任何地方都可以使用 . 那仍然需要用户名和密码 . 是否有设置或方法绕过它,以便它识别JWT? 是否始终要求 /admin/ 页面使用名称/密码?我认为内置令牌auth可以使用它 . jwt是settings... -
0 votesanswersviews
Django Rest框架与JWT获取用户信息
我有一个使用JWT进行身份验证的Django API(请参阅this tutorial) . 目前它获得令牌罚款并附加到React的user_id . 从 /api/auth/token/obtain 返回的示例标记: { "access": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ0b2tlbl90eXBlIjoiY... -
1 votesanswersviews
Django:djangorestframework-jwt:如何将它用于正常的DJango视图而不是DRF视图
我创建了一个api终点,用于使用Django视图而不是DRF创建新用户 . @csrf_exempt def user_create(request): if request.method == 'POST': form_data = json.loads(request.body) form = MyUserCreationForm(form_data) ... -
166 votesanswersviews
JWT与OAuth身份验证
我有一个使用JWT的无状态身份验证模型的新SPA . 我经常被要求引用OAuth进行身份验证流程,例如要求我为每个请求发送“Bearer tokens”而不是简单的令牌标头,但我认为OAuth比简单的基于JWT的身份验证要复杂得多 . 如果JWT身份验证的行为与OAuth相似,主要区别是什么? 我也使用JWT作为我的XSRF-TOKEN以防止XSRF,但我被要求将它们分开?我应该将它们分开吗?这里... -
0 votesanswersviews
从Firebase功能访问身份识别代理后面的GCE上的应用程序
我试图按照本指南authenticating_from_a_service_account(本指南没有与firebase函数相关)和其他人,以便允许firebase函数访问IaP背后的GCE上的另一个应用程序/ API,这需要授权的JWT . 我've tried few methods and approaches which all failed and doesn'工作 . Approach... -
0 votesanswersviews
Django-rest-auth和AWS - 错误401
在我的DRF应用程序中,我使用了包Django-rest-auth进行JWT身份验证 . 在本地环境中一切正常:我正在登录并获取令牌 . 令牌已添加到请求的标头和数据已获得 . 但是当我尝试登录时在AWS上部署并且我得到一个正确的令牌(我猜)当我将他添加到头部时我收到错误401.有人知道如何修复它吗? views.py from django.db.models import Count fro...