Questions tagged «jwt»

我一直在冒险，让JWT在DotNet core 2.0上工作（现在到达今天的最终版本）。有大量的文档，但是所有的示例代码似乎都在使用不推荐使用的API，并重新引入了Core。弄清楚应该如何实现它确实令人头晕。我尝试使用Jose，但使用了app。UseJwtBearerAuthentication已被弃用，并且没有关于下一步操作的文档。 是否有人有使用dotnet core 2.0的开源项目，该项目可以简单地从授权标头解析J​​WT，并允许我授权对HS256编码的JWT令牌的请求？ 下面的类没有引发任何异常，但是没有任何请求被授权，并且我也没有指出为什么它们是未经授权的。响应为空401，因此对我来说，没有任何异常，但机密不匹配。 奇怪的是，我的令牌是用HS256算法加密的，但是我看不到任何指示符可以迫使它在任何地方使用该算法。 这是我到目前为止的课程： using System; using System.Collections.Generic; using System.IO; using Microsoft.AspNetCore.Authentication; using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Hosting; using Microsoft.AspNetCore.Http; using Microsoft.Extensions.Configuration; using Microsoft.Extensions.DependencyInjection; using Microsoft.Net.Http.Headers; using Newtonsoft.Json.Linq; using Microsoft.IdentityModel.Tokens; using System.Text; namespace Site.Authorization { public static class SiteAuthorizationExtensions { public static IServiceCollection AddSiteAuthorization(this IServiceCollection …

83 c#  .net-core  jwt  jose 

我正在构建一个由Angular2单页应用程序和在ECS上运行的REST API组成的系统。该API在.Net / Nancy上运行，但可能会发生变化。 我想尝试一下Cognito，这就是我想象的身份验证工作流程： SPA登录用户并收到JWT SPA随每个请求将JWT发送到REST API REST API证明JWT是真实的 我的问题是关于步骤3的。我的服务器（或更确切地说：我的无状态，自动缩放，负载平衡的Docker容器）如何验证令牌是真实的？由于“服务器”还没有出台的智威汤逊本身，它不能使用自己的秘密（如在基本JWT例如描述这里）。 我已经阅读了Cognito文档并在Google上进行了大量搜索，但是我找不到在服务器端处理JWT的任何很好的指南。

78 authentication  amazon-ec2  jwt  amazon-cognito  amazon-ecs 

关闭。此问题不符合堆栈溢出准则。它当前不接受答案。 想改善这个问题吗？更新问题，使其成为Stack Overflow的主题。 去年关闭。 改善这个问题 我正在使用Java和AngularJS开发一个Web应用程序，并选择实现令牌认证和授权。出于练习目的，我到达了将凭证发送到服务器，生成随机令牌存储凭证并将其发送回客户端的地步。在对服务器的每个请求中，我都将令牌附加在标题中，并且可以完美地工作。对于身份验证的观点是完美的，不需要更多。 但是，我现在想跟踪用户类型（管理员，普通用户...），它的ID或任何其他唯一字段；据我了解，我必须使用登录过程中发送回客户端的令牌对令牌进行加密。那是对的吗？ 您是否使用过任何JWT库，并且可以生成，加密和解密此类令牌？链接到库的API和Maven依赖关系将不胜感激。 谢谢

76 java  json  web  token  jwt 

将jwt（json网络令牌）作为GET请求的查询参数放入网址中是否安全？

75 security  http  jwt 

我在hapijs中使用jwt插件和策略。 我可以在登录用户时创建jwt令牌，并通过'jwt'策略使用相同的令牌对其他API进行身份验证。 我将令牌设置request.state.USER_SESSION为cookie，其中USER_SESSION令牌的名称。另外，我没有将这些令牌保存在数据库中。 但是，注销时如何销毁jwt令牌？ 请提出一种方法。

75 node.js  jwt  hapijs 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 2年前关闭。 改善这个问题 我想了解在更改密码/注销时不击db即可使JWT无效的最佳实践。 我下面的想法是通过点击用户数据库来处理上述2种情况。 1.万一密码更改，我检查存储在用户数据库中的密码（散列）。 2.在注销的情况下，我将上次注销时间保存在用户数据库中，因此通过比较令牌创建时间和注销时间，我可以使这种情况无效。 但是，这两种情况都是以用户每次点击api时每次点击用户db为代价的。任何最佳实践都值得赞赏。 更新： 我不认为我们能够在不影响db的情况下使JWT失效。所以我想出了一个解决方案。我已经发布了我的答案，如果您有任何疑问，欢迎您。

72 javascript  node.js  token  jwt  auth-token 

而且，它们采用“专有格式”意味着什么？我正在阅读有关JWT刷新令牌的信息，它们是不透明的令牌，但我不理解该术语。

9 oauth  oauth-2.0  jwt  token