Questions tagged «jwt»

JSON Web令牌(JWT,发音为“ jot”)是一种新兴的基于令牌的身份验证类型,用于基于空间的环境(例如HTTP授权标头)中。

6
.NET Core 2.0上的JWT
我一直在冒险,让JWT在DotNet core 2.0上工作(现在到达今天的最终版本)。有大量的文档,但是所有的示例代码似乎都在使用不推荐使用的API,并重新引入了Core。弄清楚应该如何实现它确实令人头晕。我尝试使用Jose,但使用了app。UseJwtBearerAuthentication已被弃用,并且没有关于下一步操作的文档。 是否有人有使用dotnet core 2.0的开源项目,该项目可以简单地从授权标头解析J​​WT,并允许我授权对HS256编码的JWT令牌的请求? 下面的类没有引发任何异常,但是没有任何请求被授权,并且我也没有指出为什么它们是未经授权的。响应为空401,因此对我来说,没有任何异常,但机密不匹配。 奇怪的是,我的令牌是用HS256算法加密的,但是我看不到任何指示符可以迫使它在任何地方使用该算法。 这是我到目前为止的课程: using System; using System.Collections.Generic; using System.IO; using Microsoft.AspNetCore.Authentication; using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Hosting; using Microsoft.AspNetCore.Http; using Microsoft.Extensions.Configuration; using Microsoft.Extensions.DependencyInjection; using Microsoft.Net.Http.Headers; using Newtonsoft.Json.Linq; using Microsoft.IdentityModel.Tokens; using System.Text; namespace Site.Authorization { public static class SiteAuthorizationExtensions { public static IServiceCollection AddSiteAuthorization(this IServiceCollection …
83 c#  .net-core  jwt  jose 

10
如何在API后端从AWS Cognito验证JWT?
我正在构建一个由Angular2单页应用程序和在ECS上运行的REST API组成的系统。该API在.Net / Nancy上运行,但可能会发生变化。 我想尝试一下Cognito,这就是我想象的身份验证工作流程: SPA登录用户并收到JWT SPA随每个请求将JWT发送到REST API REST API证明JWT是真实的 我的问题是关于步骤3的。我的服务器(或更确切地说:我的无状态,自动缩放,负载平衡的Docker容器)如何验证令牌是真实的?由于“服务器”还没有出台的智威汤逊本身,它不能使用自己的秘密(如在基本JWT例如描述这里)。 我已经阅读了Cognito文档并在Google上进行了大量搜索,但是我找不到在服务器端处理JWT的任何很好的指南。

9
Java的JWT(JSON Web令牌)库
关闭。此问题不符合堆栈溢出准则。它当前不接受答案。 想改善这个问题吗?更新问题,使其成为Stack Overflow的主题。 去年关闭。 改善这个问题 我正在使用Java和AngularJS开发一个Web应用程序,并选择实现令牌认证和授权。出于练习目的,我到达了将凭证发送到服务器,生成随机令牌存储凭证并将其发送回客户端的地步。在对服务器的每个请求中,我都将令牌附加在标题中,并且可以完美地工作。对于身份验证的观点是完美的,不需要更多。 但是,我现在想跟踪用户类型(管理员,普通用户...),它的ID或任何其他唯一字段;据我了解,我必须使用登录过程中发送回客户端的令牌对令牌进行加密。那是对的吗? 您是否使用过任何JWT库,并且可以生成,加密和解密此类令牌?链接到库的API和Maven依赖关系将不胜感激。 谢谢
76 java  json  web  token  jwt 


5
如何在注销时销毁JWT令牌?
我在hapijs中使用jwt插件和策略。 我可以在登录用户时创建jwt令牌,并通过'jwt'策略使用相同的令牌对其他API进行身份验证。 我将令牌设置request.state.USER_SESSION为cookie,其中USER_SESSION令牌的名称。另外,我没有将这些令牌保存在数据库中。 但是,注销时如何销毁jwt令牌? 请提出一种方法。
75 node.js  jwt  hapijs 

5
在node.js中更改密码和注销时使JWT无效的最佳实践?[关闭]
已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗?更新问题,使其仅通过编辑此帖子来关注一个问题。 2年前关闭。 改善这个问题 我想了解在更改密码/注销时不击db即可使JWT无效的最佳实践。 我下面的想法是通过点击用户数据库来处理上述2种情况。 1.万一密码更改,我检查存储在用户数据库中的密码(散列)。 2.在注销的情况下,我将上次注销时间保存在用户数据库中,因此通过比较令牌创建时间和注销时间,我可以使这种情况无效。 但是,这两种情况都是以用户每次点击api时每次点击用户db为代价的。任何最佳实践都值得赞赏。 更新: 我不认为我们能够在不影响db的情况下使JWT失效。所以我想出了一个解决方案。我已经发布了我的答案,如果您有任何疑问,欢迎您。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.