-
0 votesanswersviews
Azure API管理JWT验证失败
我正在尝试实现JWT验证,如this video中所示 . 为实现这一目标,我实施了以下政策: <policies> <inbound> <validate-jwt header-name="Authorization" failed-validation-httpcode="401" failed-validation... -
2 votesanswersviews
在成功进行NodeJS身份验证后使用Nginx提供静态内容
Context: 我正在尝试构建一个Web应用程序,其中Nginx充当前端服务器,也作为后端的NodeJS服务器的代理 . 我想通过适当的身份验证机制来限制对webapp功能部分的访问 . 身份验证逻辑由NodeJS服务器处理,并使用JWT来处理相同的事件 . Current flow: 静态登录页面显示给Nginx提供服务的用户 . 用户凭证被发送到Nginx服务器,该服务器被转发到处理... -
52 votesanswersviews
JWT刷新令牌流
我正在构建一个移动应用程序,并使用JWT进行身份验证 . 看起来最好的方法是将JWT访问令牌与刷新令牌配对,以便我可以根据需要随时使访问令牌过期 . 刷新令牌是什么样的?它是随机字符串吗?该字符串是否已加密?这是另一个JWT吗? 刷新令牌将存储在用户模型的数据库中以供访问,对吗?在这种情况下,它似乎应该加密 我会在用户登录后发回刷新令牌,然后让客户端访问一个单独的路径来检索访问令牌吗?... -
65 votesanswersviews
使用JWT进行跨域身份验证的单点登录流程
网上有很多关于使用JWT( Json Web Token )进行身份验证的信息 . 但是,在多域环境中使用JWT令牌作为单点登录解决方案时,我仍然没有找到明确的解释 . 我在一家公司工作,该公司在不同的主机上有很多站点 . 我们使用 example1.com 和 example2.com . 我们需要一个单点登录解决方案,这意味着如果用户在 example1.com 上进行身份验证,我们希望他也... -
1 votesanswersviews
ASP.NET核心WebAPI Cookie JWT身份验证
我们有一个带有API后端的SPA(Angular)(ASP.NET Core WebAPI): SPA在 app.mydomain.com 上监听, app.mydomain.com/API 我们使用JWT进行身份验证,内置 Microsoft.AspNetCore.Authentication.JwtBearer ;我有一个控制器 app.mydomain.com/API/auth/jwt/lo... -
85 votesanswersviews
服务器端处理JWT令牌的最佳实践
(从this thread产生,因为这实际上是一个问题,而不是NodeJS等) 我正在实现一个带有身份验证的REST API服务器,并且我已经成功实现了JWT令牌处理,以便用户可以使用用户名/密码登录/ login endpoints ,在该 endpoints 上从服务器机密生成JWT令牌并返回到客户 . 然后,令牌在每个经过身份验证的API请求中从客户端传递到服务器,然后使用服务器机密来验证令... -
0 votesanswersviews
是否可以配置使用ESP提供的Google Cloud Endpoints API来接受Google访问令牌(而不是JWT)?
我们API的后端正在App Engine Flexible上运行,我们尝试将API部署到Google Cloud Endpoints(ESP变体),似乎ESP仅支持JWT格式的访问令牌 . 真的是这样吗?我们不能使用“普通”Google OAuth2访问令牌(从ya29开始 . )来访问使用ESP提供的Google Cloud Endpoints API吗?以下是我们得到的回复: { "... -
0 votesanswersviews
令牌未过期模块无效,Angular 6
import { tokenNotExpired } from 'angular2-jwt'; 错误: node_modules / angular2-jwt / angular2-jwt.d.ts(3,10)中的错误:错误TS2305:模块'“C:/ Users / Charles Edwin Ison / OOP / node_modules / rxjs / Observable”'没有... -
26 votesanswersviews
Dotnet核心2.0认证多个模式身份cookie和jwt
在dotnet core 1.1 asp中,通过执行以下操作,我能够配置和使用身份中间件,然后使用jwt中间件: app.UseIdentity(); app.UseJwtBearerAuthentication(new JwtBearerOptions() {}); 现在这已经发生了变化,我们实现了中间件: app.UseAuthentication(); 通过Startup.cs的Co... -
11 votesanswersviews
Identity Server 4:向访问令牌添加声明
我正在使用Identity Server 4和Implicit Flow,并且想要向访问令牌添加一些声明,新的声明或属性是“tenantId”和“langId” . 我已将langId添加为我的范围之一,如下所示,然后通过身份服务器请求,但我也获得了tenantId . 怎么会发生这种情况? 这是范围列表和客户端配置: public IEnumerable<Scope> GetScop... -
3 votesanswersviews
在Identity Server 4中,我有一个用户的身份,但有0个声明
我有一个身份服务器,一个JavaScript客户端和一个API . 所有这些都已配置,以便身份验证和授权按预期工作 . 我现在正试图通过我的API中的id(子声明)加载当前用户 . 问题是 User.Claims 枚举在我的所有控制器中都是空的 . 我已经解码了我在每次请求时发送的持有人令牌,并确认我有 sub 索赔 . 我的API是否需要一些额外的配置来接收这些声明? 解码JWT { &qu... -
2 votesanswersviews
(Golang)JWT签名验证问题
我'm trying to get my head around JWT tokens in Golang. I' m使用github.com/dgrijalva/jwt-go . 让我措手不及的是我可以输入多个有效签名 . 例如,转到http://jwt.io - 为秘密输入MySuperSecretKey 此令牌有效: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... -
0 votesanswersviews
Identity Server 4引用令牌和安全性
在我的项目中,我使用身份服务器4,SPA(Angular)和受保护的API(PHP) . 我决定使用引用令牌 . 我的客户端(SPA)使用隐式流程(不使用客户端密钥是正确的吗?)并在登录后获取访问令牌(调用授权 endpoints ) . 之后,SPA必须将令牌发送到API,以便API可以询问身份服务器4(内省 endpoints ),如果访问令牌是正确的并且API可以访问用户的信息 . 现在我想... -
1 votesanswersviews
Identity Server 4发出JWT验证失败
我有一个基于IdentityServer 4(.Net Core v2)运行的Identity Server,目标是完整的.Net框架,我有一个针对ASP.Net Web API 2(即非.Net Core)构建的ASP.NET WebAPI,它正在使用Identity Server 3用于令牌身份验证的OWIN中间件 . 当在本地运行时,一切正常 - 我可以使用Postman使用RO密码流从Id... -
0 votesanswersviews
使用Google Coud Endpoints Firebase身份验证时,“没有身份验证令牌附加到请求”
我正在使用Google App Engine标准环境(Python)和带有Firebase的Cloud Endpoints开发移动应用程序的后端进行身份验证 . 此后端需要连接到使用Unity创建的前端 . I am having trouble with Cloud Endpoints reading the authentication token being sent from the Un... -
0 votesanswersviews
canActivate无法正常工作Angular 5
我编写了一个带有角度5的应用程序用于测试目的,并在后端使用JWT进行用户身份验证 . 我想没有经过身份验证的用户无法访问配置文件页面,因此我使用CanActivate作为我的路由,但是当我在我的应用程序中单击登录时没有任何反应 . 我console.log loggedIn值,登录后也返回false值 . token.service.ts import { Injectable } from '@... -
97 votesanswersviews
在浏览器中存储JWT的位置?如何防范CSRF?
我知道基于cookie的身份验证 . SSL和HttpOnly标志可用于保护MITM和XSS的基于cookie的身份验证 . 但是,为了保护CSRF免受CSRF的影响,需要采取更多特殊措施 . 它们有点复杂 . (reference) 最近,我发现JSON Web Token(JWT)作为一种身份验证解决方案非常热门 . 我知道有关编码,解码和验证JWT的内容 . 但是,我不明白为什么有些网站... -
1 votesanswersviews
主要使用JWT的无状态身份验证是否真的安全?
我很久没有这个问题,JWT真的很安全吗?因为对索赔和有效负载进行编码,我们可以很容易地解码令牌,这个解码也很好地在网站上给出了 . 所以我的观点是任何人都可以使用像burpsuite或任何东西这样的工具简单地更改auth标头,并给出一些其他有效的令牌并验证假用户 . 按照许多人的建议将令牌存储在localStorage中也可能不太安全 . 所以我的问题是,与加密的cookie或会话相比,它是否真的... -
1 votesanswersviews
Angular和PHP JWT和CSRF(XSRF)Cookie
我有一个Angular应用程序向PHP服务器发出$ http请求 . 一旦有效的登录请求被提交给服务器,PHP就会创建一个JWT并使用PHP的setcookie()函数设置令牌cookie,并将httponly标志设置为true . 此标志仅允许服务器读取cookie . 在每个后续的Angular $ http请求中,PHP使用$ _COOKIE验证cookie . 我的问题是在PHP中设置co... -
268 votesanswersviews
使JSON Web令牌无效
对于我正在研究的新node.js项目,我正在考虑从基于cookie的会话方法切换(我的意思是,将id存储到包含用户浏览器中的用户会话的键值存储)使用JSON Web令牌(jwt)进行基于令牌的会话方法(无键值存储) . 该项目是一个利用socket.io的游戏 - 在一个会话中将有多个通信通道(web和socket.io)的情况下,基于令牌的会话将非常有用 . 如何使用jwt方法从服务器提供令牌/... -
1 votesanswersviews
使用JSON Web令牌保护URL的正确方法
说我有以下非api路线: app.get('/userprofile', isAuthenticated(), function(request, response) { response.render('pages/userprofile'); }); 使用JWT保护该路线的正确方法是什么?由于req来自浏览器,而不是客户端代码,因此不会有“Authorization:Bearer T... -
2 votesanswersviews
Angular 2中的Web令牌
我通过登录组件向后端REST API发送POST请求 . 我在响应头中返回了一个x-auth令牌 . 如何获取和存储此令牌,以便在用户登录会话期间将其用于所有其他API请求?干杯 -
0 votesanswersviews
存储访问权限和刷新JWT令牌OAuth2的正确方法是什么?
我对如何处理JWT访问和刷新令牌的最佳实践感兴趣 . 使用密码授予类型可以通过两种方式获取访问令牌: 使用密码授权类型直接向oauth / token endpoints 用户的用户名和密码发送HTTP请求 . 如果数据正确,则服务器将使用正文消息中的访问和刷新令牌进行响应 . 当访问令牌过期时,您可以按照首先描述的方式重新发送用户名/密码,或者使用具有refresh_token授权类型的... -
1 votesanswersviews
我的JWT刷新计划是否安全?
我计划将JWT用于移动设备的登录系统 . 没有真正标准的工作流程来刷新我能找到的JWT令牌,所以我在下面创建了这个 . 我想使用JWT的原因是出于性能原因 . 我信任JWT,而不是检查用户是否对每个请求的数据库调用有效 . 我有我想要在我的应用程序中实现的建议工作流程 . 这可以接受吗?高效?我在监督是否有任何明显的问题?可以做出哪些合理的改进? 用户登录 如果localstorage中不存在... -
0 votesanswersviews
angular2与Slim框架jwt认证
我正在尝试创建一个服务来验证angular2中的用户名和密码 . 这是authentication.service.ts的代码 import { Injectable } from '@angular/core'; import { Http, Headers, Response } from '@angular/http'; import { Observable } from ... -
0 votesanswersviews
使用OpenID在WSO2 Identity Server 5.2中显示碳用户名
我可以通过点击https://localhost:9443/oauth2/token从WSO2 5.2获得id_token 可以通过将本地声明映射到开放ID中的OIDC声明来自定义id_token . 例如,我可以在WSO2的JWT令牌中添加角色 . 但是,我无法让WSO2用户在令牌中显示出来 . { "at_hash": "VFjcb6kEgMrXIemmg7A... -
0 votesanswersviews
随机地进行突变无法更新NUXT中的状态
我正在尝试在Nuxt Js中设置基于JWT的身份验证 . 到目前为止,我已成功登录到我的服务器,检索JWT令牌并将令牌保存在cookie中,以便在页面重新加载时保持状态 . 我已经设置了一个auth中间件,它只是调度一个动作 intiAuth ,请求对象(包含cookie)被传递给它 . intiAuth操作从请求中提取令牌,并从服务器检索用户,并通过提交 setUser 突变来更新状态 . i... -
6 votesanswersviews
如何验证MS Azure AD生成的JWT id_token?
我有一个angularjs SPA网络应用程序,使用ADAL-JS(和adal-angular) . 它设置为在MS Azure中对我们的公司AD进行身份验证 . 登录流程似乎正常,SPA收到id_token . 接下来,当用户单击按钮时,SPA会向我在AWS API Gateway上托管的REST API发出请求 . 我在 Authorization: Bearer <id_token&g... -
95 votesanswersviews
C#中是否有任何JSON Web Token(JWT)示例?
对于任何给定的任务,我觉得我总是有一百万个库和样本浮动在网络上 . 我正在尝试使用JSON Web令牌(JWT)使用Google "Service Account"实现身份验证,如here所述 . 但是,只有PHP,Python和Java中的客户端库 . 即使在Google认证之外搜索JWT示例,JWT概念也只有蟋蟀和草稿 . 这真的是新的,可能是谷歌专有系统吗? 我能设法解释... -
81 votesanswersviews
使用System.IdentityModel.Tokens.Jwt解码和验证JWT令牌
我一直在使用JWT库来解码Json Web Token,并希望切换到Microsoft的官方JWT实现,System.IdentityModel.Tokens.Jwt . 文档非常稀疏,所以我很难弄清楚如何完成我在JWT库中所做的工作 . 使用JWT库,有一个Decode方法,它采用base64编码的JWT并将其转换为JSON,然后可以对其进行反序列化 . 我想使用System.IdentityM...