JSON Web Token (JWT, wymawiane jako „jot”) to nowy typ uwierzytelniania opartego na tokenach, używany w środowiskach o ograniczonej przestrzeni, takich jak nagłówki autoryzacji HTTP.
Chciałbym zaimplementować uwierzytelnianie oparte na JWT w naszym nowym interfejsie API REST. Ale skoro wygaśnięcie jest ustawione w tokenie, czy można go automatycznie przedłużyć? Nie chcę, aby użytkownicy musieli logować się co X minut, jeśli w tym okresie aktywnie korzystali z aplikacji. To...
W przypadku nowego projektu node.js, nad którym pracuję, zastanawiam się nad przejściem z sesji opartej na plikach cookie (mam na myśli przechowywanie identyfikatora w magazynie kluczy i wartości zawierającym sesje użytkownika w przeglądarce użytkownika) do sesji opartej na tokenach (bez magazynu...
Mam nowe SPA z bezstanowym modelem uwierzytelniania przy użyciu JWT. Często jestem proszony o odesłanie OAuth w przypadku przepływów uwierzytelniania, takich jak proszenie mnie o wysyłanie „tokenów nośnika” dla każdego żądania zamiast prostego nagłówka tokena, ale myślę, że OAuth jest o wiele...
Jeśli otrzymam JWT i mogę dekodować ładunek, jak to jest bezpieczne? Czy nie mogę po prostu wyciągnąć tokena z nagłówka, zdekodować i zmienić informacje o użytkowniku w ładunku i odesłać go z tym samym poprawnym, zakodowanym sekretem? Wiem, że muszą być bezpieczne, ale naprawdę chciałbym zrozumieć...
Usiłuję obsługiwać token elementu nośnego JWT (JSON Web Token) w mojej aplikacji interfejsu API sieci Web i gubię się. Widzę obsługę .NET Core i aplikacji OWIN. Obecnie hostuję moją aplikację w IIS. Jak mogę uzyskać ten moduł uwierzytelniania w mojej aplikacji? Czy jest jakiś sposób na użycie...
Używam Auth0 do obsługi uwierzytelniania w mojej aplikacji internetowej. Używam ASP.NET Core v1.0.0 i Angular 2 rc5 i ogólnie nie wiem dużo na temat uwierzytelniania / bezpieczeństwa. W dokumentach Auth0 dla ASP.NET Core Web Api istnieją dwie możliwości wyboru algorytmu JWT: RS256 i HS256. To może...
Zastanawiam się, jaki jest najlepszy odpowiedni Authorizationtyp nagłówka HTTP dla tokenów JWT . Jednym z prawdopodobnie najbardziej popularnych typów jest Basic. Na przykład: Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== Obsługuje dwa parametry, takie jak login i hasło. Nie dotyczy to...
Jak mogę zdekodować ładunek JWT przy użyciu JavaScript? Bez biblioteki. Token po prostu zwraca obiekt ładunku, który może zostać wykorzystany przez moją aplikację front-end. Przykładowy token: xxxxxxxxx.XXXXXXXX.xxxxxxxx Rezultatem jest ładowność: {exp: 10012016 name: john doe,...
Próbuję zaimplementować bezstanowe uwierzytelnianie za pomocą JWT dla moich interfejsów API RESTful. AFAIK, JWT jest w zasadzie zaszyfrowanym łańcuchem przekazywanym jako nagłówki HTTP podczas wywołania REST. Ale co będzie, jeśli ktoś podsłuchujący zobaczy żądanie i ukradnie token ? Czy będzie...
Testuję implementację zabezpieczeń opartych na tokenach JWT na podstawie poniższego artykułu . Pomyślnie otrzymałem token z serwera testowego. Nie mogę dowiedzieć się, w jaki sposób program Chrome POSTMAN REST Client wysłał token w nagłówku. Moje pytania są następujące: 1) Czy używam właściwej...
Znam uwierzytelnianie oparte na plikach cookie. Flaga SSL i HttpOnly może być stosowana do ochrony uwierzytelniania opartego na plikach cookie przed MITM i XSS. Jednak konieczne będzie zastosowanie bardziej specjalnych środków w celu ochrony przed CSRF. Są po prostu trochę skomplikowane. (...
Obecnie tworzę aplikację jednostronicową przy użyciureakjs. Czytałem, że wiele powodów, dla których nie używam localStorage, wynika z luk w zabezpieczeniach XSS. Skoro React wymyka wszystkie dane wejściowe użytkownika, czy teraz byłoby bezpiecznie używać
Zdaję sobie sprawę, że zabezpieczenia Spring zbudowane są na łańcuchu filtrów, które przechwytują żądanie, wykryją (brak) uwierzytelnienia, przekierowują do punktu wejścia uwierzytelniania lub przekazują żądanie do usługi autoryzacji i ostatecznie pozwalają żądaniu trafić do serwletu lub zgłosić...
Buduję aplikację mobilną i używam JWT do uwierzytelniania. Wydaje się, że najlepszym sposobem na to jest sparowanie tokena dostępu JWT z tokenem odświeżania, aby móc wygasać token dostępu tak często, jak chcę. Jak wygląda token odświeżania? Czy to losowy ciąg? Czy ten ciąg jest zaszyfrowany? Czy...
Jaka jest zaleta używania tokenów JWT nad sesjami w sytuacjach takich jak uwierzytelnianie? Czy jest używane jako samodzielne podejście, czy jest używane w
Piszę aplikację internetową w Angular, w której uwierzytelnianie jest obsługiwane przez token JWT, co oznacza, że każde żądanie ma nagłówek „Authentication” ze wszystkimi niezbędnymi informacjami. Działa to dobrze w przypadku wywołań REST, ale nie rozumiem, jak mam obsługiwać łącza pobierania...
Dowiaduję się czegoś o autoryzacji, np. Basic, Digest, OAuth2.0, JWTs i Bearer Token. Teraz mam pytanie. Wiesz, że tokeny JWT są używane jako Access_Token w standardzie OAuth2.0. Tokeny JWT pojawiają się pod adresem RFC 7519, a token okaziciela znajduje się pod adresem RFC 6750. Na przykład...
Czytałem kilka postów na temat „JWT vs Cookie”, ale tylko mnie wprawiły w zakłopotanie ... Chcę wyjaśnienia , kiedy ludzie mówią o „uwierzytelnianiu opartym na tokenach a pliki cookie”, pliki cookie odnoszą się tutaj jedynie do plików cookie sesji ? Rozumiem, że plik cookie jest jak medium , może...
W sieci jest wiele informacji na temat używania JWT ( Json Web Token) do uwierzytelniania. Ale nadal nie znalazłem jasnego wyjaśnienia, jaki powinien być przepływ podczas używania tokenów JWT do rozwiązania pojedynczego logowania w środowisku wielu domen . Pracuję dla firmy, która ma wiele witryn...
Muszę znać maksymalną długość Token sieciowy JSON (JWT) W specyfikacjach nie ma o tym informacji. Czy to możliwe, że nie ma ograniczeń co do