Веб-токен JSON (JWT, произносится как «jot») - это развивающийся тип аутентификации на основе токенов, используемый в средах с ограниченным пространством, таких как заголовки авторизации HTTP.
Я хотел бы реализовать аутентификацию на основе JWT в нашем новом REST API. Но так как срок действия установлен в токене, возможно ли автоматически продлить его? Я не хочу, чтобы пользователям приходилось регистрироваться через каждые X минут, если они активно использовали приложение в этот период....
Для нового проекта node.js, над которым я работаю, я думаю о переходе от сеансового подхода на основе файлов cookie (я имею в виду сохранение идентификатора в хранилище значений ключей, содержащем сеансы пользователя в браузере пользователя). к подходу сеанса на основе токенов (без хранения...
У меня есть новый SPA с моделью аутентификации без сохранения состояния с использованием JWT. Меня часто просят сослаться на OAuth для потоков аутентификации, например, просить меня посылать «токены носителя» для каждого запроса вместо простого заголовка токена, но я думаю, что OAuth намного...
Если я получу JWT и смогу декодировать полезную нагрузку, насколько это безопасно? Разве я не могу просто извлечь токен из заголовка, декодировать и изменить информацию о пользователе в полезной нагрузке и отправить ее обратно с тем же правильным закодированным секретом? Я знаю, что они должны быть...
Я пытаюсь поддерживать токен-носитель JWT (JSON Web Token) в своем приложении веб-API, и я теряюсь. Я вижу поддержку .NET Core и приложений OWIN. В настоящее время я размещаю свое приложение в IIS. Как я могу добиться этого модуля аутентификации в моем приложении? Можно ли каким-либо образом...
Я использую Auth0 для обработки аутентификации в моем веб-приложении. Я использую ASP.NET Core v1.0.0 и Angular 2 RC5, и я не знаю много об аутентификации / безопасности в целом. В документах Auth0 для ASP.NET Core Web Api есть два варианта алгоритма JWT: RS256 и HS256. Это может быть глупый...
Мне интересно, какой Authorizationтип HTTP-заголовка лучше всего подходит для токенов JWT . Один из, вероятно, самый популярный тип Basic. Например: Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== Он обрабатывает два параметра, такие как логин и пароль. Так что это не относится к токенам JWT....
Как я могу декодировать полезную нагрузку JWT, используя JavaScript? Без библиотеки. Таким образом, токен просто возвращает полезный объект, который может использоваться моим клиентским приложением. Пример токена: xxxxxxxxx.XXXXXXXX.xxxxxxxx И результат - полезная нагрузка: {exp: 10012016 name:...
Я пытаюсь реализовать аутентификацию без сохранения состояния с помощью JWT для моих RESTful API. AFAIK, JWT - это в основном зашифрованная строка, передаваемая в качестве заголовков HTTP во время вызова REST. Но что, если есть подслушивающий, который видит запрос и ворует токен ? Тогда он сможет...
Я тестирую реализацию безопасности на основе токенов JWT, основанную на следующей статье . Я успешно получил токен с тестового сервера. Я не могу понять, как заставить клиентскую программу Chrome POSTMAN REST отправлять токен в заголовке. Мои вопросы следующие: 1) Я использую правильное имя...
В настоящее время я создаю одностраничное приложение с использованием reactjs. Я читал, что многие причины неиспользования localStorage связаны с уязвимостями XSS. Поскольку React экранирует все данные, вводимые пользователем, будет ли теперь безопасно использовать localStorage?...
Я знаю аутентификацию на основе файлов cookie. SSL и флаг HttpOnly могут применяться для защиты аутентификации на основе файлов cookie от MITM и XSS. Однако для защиты от CSRF потребуются более специальные меры. Они просто немного сложны. ( ссылка ) Недавно я обнаружил, что JSON Web Token (JWT)...
Я понимаю, что безопасность Spring основывается на цепочке фильтров, которые будут перехватывать запрос, обнаруживать (отсутствовать) аутентификацию, перенаправлять на точку входа аутентификации или передавать запрос в службу авторизации и в конечном итоге позволят запросу либо попасть в сервлет,...
Я создаю мобильное приложение и использую JWT для аутентификации. Похоже, что лучший способ сделать это - связать токен доступа JWT с токеном обновления, чтобы я мог истекать токен доступа так часто, как хочу. Как выглядит токен обновления? Это случайная строка? Эта строка зашифрована? Это еще один...
В чем преимущество использования JWT перед сеансами в таких ситуациях, как аутентификация? Используется ли он как отдельный подход или используется в
Я пишу веб-приложение на Angular, где аутентификация обрабатывается токеном JWT, что означает, что каждый запрос имеет заголовок «Authentication» со всей необходимой информацией. Это хорошо работает для вызовов REST, но я не понимаю, как мне обрабатывать ссылки для загрузки файлов, размещенных на...
Я читал несколько сообщений о "JWT vs Cookie", но они только сбили меня с толку ... Я хочу пояснить , когда люди говорят о «аутентификации на основе токенов или куки», куки здесь просто относятся к куки сеанса ? Я понимаю, что cookie похож на носитель , его можно использовать для реализации...
В Интернете есть много информации об использовании JWT ( Json Web Token) для аутентификации. Но я до сих пор не нашел четкого объяснения того, каким должен быть поток при использовании токенов JWT для решения единой регистрации в среде с несколькими доменами . Я работаю в компании, у которой много...
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы на него можно было ответить с помощью фактов и цитат, отредактировав этот пост . Закрыт в прошлом году . Уточните этот вопрос (создан из этого потока, поскольку...
Мне нужно знать максимальную длину Веб-токен JSON (JWT) В спецификациях информации об этом нет. Может быть, ограничений по длине