问题标签 [json-web-token]

我有一个在有效负载中包含用户代码的 JWT（JSON Web 令牌）。验证 JWT 后，我通过解析有效负载来确定用户代码。用户代码需要可用于多个不同的类，并且我希望避免提取特定的 HTTP 标头并多次解析 JWT（授权时一次，但此后代码中需要多次）来提取用户代码。我重写了 IsAuthorized 方法以执行 JWT 验证。

一个 ASP.Net Web API 验证 JWT。是否有可能拥有一个静态的 Global.cs 来保存类的静态变量？当他们是多个用户访问网站时会面临什么影响？每个连接到 Web API 的用户是否会有一个 Global.cs 实例？

我有一个项目想要支持 android,ios,pc web。我尝试使用 https://github.com/spring-projects/spring-session，是否可以仅在应用程序中配置以支持 HttpSession 和休息令牌？

如果可以，我该如何配置？

首先，生成密钥的好方法是什么？我应该在我的键盘上输入很多随机键来生成一个，但是必须有更好的解决方案。解释生成非常好的密钥的方法。

其次，存储密钥的好方法是什么？我可以在我的应用程序配置中编写密钥，但这意味着对源代码的妥协将危及整个系统。在 Node.js Express 应用程序中存储密钥的好方法是什么？

我正在使用 MEAN 堆栈并希望确保某些路由具有经过身份验证的用户。我一直在阅读 JSON Web 令牌。这似乎是合理的。

在我投入更多时间之前，我想问一下是否有其他人使用它，以及到目前为止他们是否注意到了任何重大缺陷。除了护照，还有其他流行的替代品吗？

我一直在阅读有关 JSON Web Tokens 的内容，一些问题突然出现在我的脑海中。我已经阅读了很多关于我们应该如何从基于会话的方法转向 JWT 的说法。我更多地考虑的是一个Node JS 后端，它公开了 UI 和移动端的 API。

声明：JWT 不需要您为每个 http 请求与您的键值数据存储进行通信。

问题 1：我不能为所有用户拥有一个私钥（如果我只有一个私钥会有什么安全风险？）。那么无论如何我都需要一个数据库。

声明：JWT 在每次请求时发送令牌。因此我们不需要在会话中存储任何数据，例如“姓名、电子邮件”，而是可以驻留在令牌本身上。

问题 2：负载的大小不会增加，因为每个请求都会发送它们并且它还包含数据？

声明：您可以对移动身份验证以及 Web UI 身份验证使用相同的方法。

问题 3：由于服务器现在必须解密令牌并与服务器通信，这不是 Web UI 的开销吗？

Claim : 将令牌传递给 JS 并将令牌存储在 sessionStorage 或 localStorage 中。

问题 4：由于 sessionStorage 中没有“httpOnly”的概念，这不是安全问题吗？chrome插件也可以通过获取令牌并登录来规避安全性吗？

最后，除了 CRSF 问题，在 UI 和 Mobile Auth 之间共享代码以及 CSRF 的好处之外，我真的没有看到与当前基于会话的机制相比有多少好处。我的想法正确吗？

另外，与传统的基于会话的系统相比，JWT 的缺点是什么？

我在我的 Python 应用程序中使用 Django Rest Framework，并使用 JSON Web 令牌身份验证 (DRF JWT) 进行 api 身份验证。

当我构建自定义控制器时，我的问题就出现了。我将一个特定的 URL 指向了calculations.py我创建的文件中的一个函数。以下是它们的外观。

urls.py

calculations.py

serializers.py

上面的serializers.py文件包含我所有模型的序列化程序类，以及相同的视图集。我还没有将视图集转移到views.py中，所以该文件现在是空的。

无论如何，mycalculations.py与这些文件是分开的，并且此文件中定义的函数直接由 '/getReturns/' URL 调用，而无需通过视图。如何将计算文件中定义的函数合并到视图集中，以便在函数执行之前调用我的授权类？

我是一个相当新手的 c++ 程序员（我还在上大学，所以我想我一般来说是一个相当新手的程序员），我正在尝试在 c++ 中生成一个 JWT。我能够生成和编码标头和有效负载，但是当我在 jwt.io 上检查时，使用 openssl 的 hmac 库生成的签名似乎无效。我有一种感觉，这是由于我没有看到的一些细微的错误。如果您能找到我的错误，我将不胜感激。如果您也有关于如何改进我的代码的建议，也将不胜感激。注意我必须对 json 使用 openssl 和 boost。

****更新****

我发现添加了额外的新行，这导致了身份验证过程中的错误。目前我正在调用 str.erase 来删除它们，但如果有人可以让我知道他们会去哪里，我将不胜感激，这样我就可以避免操纵字符串

这是我使用签名令牌的方法

这就是我在 base64Url 中编码数据的方式

我目前正在尝试从后端获取一些音频资源，每个请求都需要 JWT，并且我无法禁用安全性，大多数音频文件来自私人会议。

问题是我找不到在视频请求中设置我需要的标题字段的位置......

我已经使用 $httpProvider 和 angular-jwt 在所有路由上设置了标题。

但这似乎不适用于音频文件。

希望这是足够的信息...

谢谢你

我正在基于外部 CAS 服务构建自己的应用程序。我想先使用外部 CAS 对用户进行身份验证，然后允许他们使用我的应用程序。

但是，我正在阅读有关 phpCAS 的文档，但我不确定如何以一种平静的方式进行操作。

我需要一些令牌给我的前端 javascript，每次用户发出请求时，我都会根据 CAS 检查该令牌以确保用户已通过身份验证。有没有办法做到这一点？

我已经读过票和代理，但我不明白......对不起我的新手希望你不介意。

我正在使用 JsonWebTokens 创建我的第一个登录系统，但在尝试使用该encode功能时遇到了障碍。

我的错误信息说：

if (this.ended && !this.hasRejectListeners()) 抛出原因；^ 类型错误：未定义不是函数

我已经设法将错误缩小到这行代码：

这是函数的一部分，如下所示：

不用说，因为这是我第一次验证任何东西，我不知道为什么这会导致错误。请帮忙。