问题标签 [http-token-authentication]

我有一个通过令牌的身份验证系统。用户使用电子邮件和密码登录，然后返回令牌并保存在 cookie 中。现在，如果用户关闭浏览器或选项卡并返回该站点，则用户将使用 cookie 中的令牌进行身份验证，但是，这可能需要相当多的毫秒时间，并且如果他们返回到安全站点，例如他们的用户配置文件，并且应用程序没有足够快的速度加载初始用户数据并将其标记为已登录，然后将它们重定向到登录页面。

我的第一个想法是将用户数据放入每个请求的响应中，其中令牌有效，但这会产生大量不必要的数据流量。

有更好的解决方案吗？

我正在为我的网站开发一个身份验证库，并且我想使用基于令牌的身份验证系统，但我不知道如何生成安全会话令牌以便我可以识别用户。有没有人有任何资源可以为我指明正确的方向？

我正在构建一个 Django Web 应用程序，其 api 使用基于令牌的身份验证，而不是基于会话的身份验证。该 api 由 web 应用程序的前端和单独的移动应用程序使用。我很难弄清楚如何登录。我的第一个想法是做我计划在移动应用程序中做的事情：登录表单只是 POST 到创建并发送回访问令牌的端点，然后访问令牌保存在浏览器/应用程序存储中与未来的请求一起发送。这在移动应用程序的上下文中似乎是有道理的，但对于浏览器来说，这似乎有点奇怪。这种方法的一个问题是，即使在注销后内部页面仍然可见。用户可以注销，然后点击返回按钮，然后浏览网站。即使所有的 api 调用都会失败，

在我看来，不同之处在于，在移动应用程序中，只有 api 调用才需要身份验证，因为静态内容已经在设备上，不需要获取。但是，在 Web 应用程序中，需要提供静态内容，如果用户未登录，则可能不应该提供。

仅使用基于令牌的身份验证是否不常见？我是否需要对静态内容使用基于会话的身份验证，以及对 api 使用基于令牌的身份验证？

这通常是如何完成的？

编辑：我正在使用 django-rest-framework，所以一个简单的方法来处理这个也将不胜感激。

我正在尝试使用 Angularjs 和 .net web api 令牌授权来实现这个文件上传进入我的项目

文件上传：http ://blueimp.github.io/jQuery-File-Upload/

令牌授权：http ://bitoftech.net/2014/06/09/angularjs-token-authentication-using-asp-net-web-api-2-owin-asp-net-identity/

我在 angularjs 模块中还有一个拦截器，用于将令牌添加到对服务器发出的每个请求中。

我遇到的问题是，当我尝试上传文件时，拦截器没有拦截请求并将令牌附加到请求中。因此，服务器抛出 401 Authorized。这是有道理的。

我的问题，我如何拦截/注入令牌到文件上传后调用？

我已经阅读了很多关于它的内容，但我仍然没有完全理解它。

我将来可能会使用现有解决方案的库，但我现在想了解和实施我自己的系统。

为了无状态和可扩展，我认为我不能将用户上下文存储在服务器上。

主要问题是概念问题，如果我了解系统，我将成功对其进行编码

我已经测试了在 Internet 上找到的我修改过的代码（法国网站参考： http: //blog.nalis.fr/index.php ?post/2009/09/28/Securisation-stateless-PHP-avec-un-jeton-取消会话-（令牌）-保护-CSRF-en-PHP）。你能告诉我它是正确的还是我不明白？

所以要创建一个令牌，我使用这个函数，它以用户数据为参数

因此，用户可以验证自己并接收包含令牌（genericPart + 他的数据，已编码）和 hisData 未编码的数组：

然后用户可以向我发送他的令牌 + 他的未编码数据以检查：

我对吗？

很抱歉这条长消息，很抱歉我的英语。

在此先感谢您的帮助！

我正在尝试使用 NancyFX 进行基于令牌的身份验证。令牌正在完美生成，但是当我在 Get Request 中传递标头时，我无法通过 this.RequiresAuthentication() 并获得未经授权的错误。

这是我的令牌格式

我是不是路错了？

我也试过

并且

但没有任何工作。

如果需要更多详细信息，请告诉我。

我正在使用令牌身份验证，目前如果用户未登录，他们将被定向到“/login”的 url 路径，我希望允许用户转到路径“/createUser”。如果用户未登录，下面的代码会将用户引导至登录页面。如果用户是新用户，我将如何允许他们导航到“/createUser”路径？

我正在开发一个带有令牌身份验证和刷新令牌的 AnjularJS 项目。

在某些情况下，当我提交表单并进行 api 调用时，我会得到 401，其中令牌已过期并自动刷新令牌。哪个工作得很好。

我遇到的问题是，在刷新令牌后，我想自动进行 api 调用以重新提交表单。

我是否必须创建服务来跟踪所有呼叫？角度是否会跟踪所有呼叫？

关于如何做到这一点的任何想法。

谢谢

我在 Glassfish 3.0 上部署了一个 Web 应用程序，它使用我的自定义 Web 应用程序领域根据用户名和密码（使用 servlet 3.0 request.login()）对用户进行身份验证。我编写了一个自定义登录模块，它扩展了“AppservPasswordLoginModule”并进行身份验证。密码以加密方式存储在数据库中。

现在我有一个场景，我需要为用户生成基于令牌的 url，他们可以用来登录网站（没有任何用户名或密码）。令牌可以在一定时间内有效，也可以在登录一次有效。

如何将我的令牌传递给我的登录模块或如何处理此类登录流程并根据令牌对用户进行身份验证？

我正在构建一个基于令牌的身份验证（Node.js 使用带角度客户端的护照/JWT）。

用户输入他的凭据后，他会获得一个访问令牌，他会在每个请求的标头（标头：bearer TOKEN）中发送该令牌。

我不想每次他的访问令牌过期时都提示登录请求（我猜是每天），我听说过Refresh Tokens。刷新令牌永远不会过期（或很少过期）并且能够无限期地更新令牌。当访问令牌即将过期时，客户端可以通过发送他的刷新令牌来发送更新请求以获取新的访问令牌。

我不明白一些事情，我可能会遗漏一些东西：

1. 长期/永不过期的刷新令牌如何不会破坏拥有短期访问令牌的安全性。

2. Cookie 可以被窃取并使用到过期为止。令牌是短暂的，因此它们更安全，但如果我提供一个长期刷新令牌，我将失去使用令牌的优势。

注意：我知道刷新令牌是在初始登录时发送的，因此不能在每个请求中都被欺骗，但如果它们在初始请求中被欺骗，它们很容易受到攻击。