«jwt» etiketlenmiş sorular

Yeni REST API'mıza JWT tabanlı kimlik doğrulaması uygulamak istiyorum. Ancak son kullanma süresi belirteçte ayarlandığından, otomatik olarak uzatmak mümkün mü? Kullanıcıların uygulamayı o dönemde etkin bir şekilde kullanıyorlarsa her X dakikada bir oturum açmasını istemiyorum. Bu büyük bir UX başarısızlığı olurdu. Ancak sona erme süresini uzatmak yeni bir jeton oluşturur …

509 node.js  api  security  authentication  jwt 

Üzerinde çalıştığım yeni bir node.js projesi için, çerez tabanlı oturum yaklaşımından geçiş yapmayı düşünüyorum (bununla, bir kullanıcının tarayıcısında kullanıcı oturumlarını içeren bir anahtar / değer deposuna bir kimlik depolamak) JSON Web Belirteçlerini (jwt) kullanarak belirteç tabanlı bir oturum yaklaşımına (anahtar / değer deposu yok). Proje socket.io kullanan bir oyundur - …

421 javascript  node.js  session  session-cookies  jwt 

JWT kullanarak durum bilgisi olmayan kimlik doğrulama modeline sahip yeni bir SPA'm var. Sık sık basit bir jeton başlığı yerine her istek için 'Taşıyıcı belirteçleri' göndermemi istemek gibi kimlik doğrulama akışları için OAuth'a başvurmam istenir, ancak OAuth'un basit bir JWT tabanlı kimlik doğrulamasından çok daha karmaşık olduğunu düşünüyorum. Temel farklılıklar …

357 authentication  oauth  jwt 

Bir JWT alırsam ve yükü çözebilirsem, bu nasıl güvenli? Jetonu başlıktan alıp, koddaki kullanıcı bilgilerini deşifre edip değiştirip aynı doğru kodlanmış sır ile geri gönderemedim mi? Güvenli olmaları gerektiğini biliyorum, ama sadece teknolojileri anlamak istiyorum. Neyi kaçırıyorum?

302 security  jwt  express-jwt 

Web API uygulamamda JWT taşıyıcı jetonunu (JSON Web Token) desteklemeye çalışıyorum ve kayboluyorum. .NET Core ve OWIN uygulamaları için destek görüyorum. Şu anda uygulamamı IIS'de barındırıyorum. Bu kimlik doğrulama modülünü uygulamamda nasıl elde edebilirim? Kullanabileceğim bir yolu var mı <authentication>yönlü I kullanım şekilleri / Windows kimlik doğrulaması benzer yapılandırmayı?

264 c#  security  asp.net-web-api  jwt 

Web uygulamamda kimlik doğrulaması yapmak için Auth0 kullanıyorum. ASP.NET Core v1.0.0 ve Angular 2 rc5 kullanıyorum ve genel olarak kimlik doğrulama / güvenlik hakkında fazla bir şey bilmiyorum. In ASP.NET Çekirdek Web Api için Auth0 docs , RS256 ve HS256 olmak JWT algoritması için iki seçenek vardır. Bu aptalca bir …

255 jwt  auth0  asp.net-core-webapi 

JWT belirteçleriAuthorization için en uygun HTTP üstbilgi türünün ne olduğunu merak ediyorum . Muhtemelen en popüler türlerden biri Basic. Örneğin: Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== Oturum açma adı ve parola gibi iki parametreyi işler. Bu nedenle JWT jetonları için geçerli değildir. Ayrıca, Taşıyıcı türünü duydum , örneğin: Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ Ancak, anlamını …

230 http-headers  jwt 

JavaScript kullanarak JWT'nin yükünü nasıl çözebilirim? Kütüphane olmadan. Jeton sadece ön uç uygulamam tarafından tüketilebilen bir yük nesnesi döndürüyor. Örnek simge: xxxxxxxxx.XXXXXXXX.xxxxxxxx Ve sonuç yüktür: {exp: 10012016 name: john doe, scope:['admin']}

209 javascript  jwt 

RESTful API'lerim için JWT ile durum bilgisi olmayan kimlik doğrulaması uygulamaya çalışıyorum. AFAIK, JWT temelde bir REST çağrısı sırasında HTTP üstbilgileri olarak iletilen şifreli bir dizedir. Peki ya isteği gören ve jetonu çalan bir kulak misafiri varsa ne olur ? O zaman kimliğimle sahte talepte bulunabilecek mi? Aslında, bu endişe …

203 authentication  access-token  jwt 

Aşağıdaki makaleye dayanarak JWT Token tabanlı güvenlik uygulamasını test ediyorum . Test sunucusundan başarıyla bir belirteç aldım. Chrome POSTMAN REST İstemci programının jetonu başlıkta nasıl göndereceğini anlayamıyorum. Sorularım aşağıdaki gibidir: 1) Doğru başlık adını ve / veya POSTMAN arayüzünü mü kullanıyorum? 2) Belirteci kodlamak için 64 temel almalı mıyım? Jetonu …

170 express  jwt  postman 

Çerez tabanlı kimlik doğrulamasını biliyorum. SSL ve HttpOnly bayrağı, çerez tabanlı kimlik doğrulamasını MITM ve XSS'den korumak için uygulanabilir. Bununla birlikte, CSRF'den korunmak için daha özel önlemlerin alınması gerekecektir. Bunlar biraz karmaşık. ( başvuru ) Son zamanlarda, JSON Web Token'ın (JWT) kimlik doğrulama için bir çözüm olarak oldukça sıcak olduğunu …

159 security  authentication  cookies  csrf  jwt 

Şu anda reatjs kullanarak tek sayfalık bir uygulama geliştiriyorum. LocalStorage kullanmamanın birçok nedeninin XSS güvenlik açıklarından kaynaklandığını okudum. React tüm kullanıcı girdilerinden kaçtığından, artık localStorage kullanmak güvenli midir?

147 reactjs  local-storage  jwt 

Spring güvenliğinin, isteği durduran, kimlik doğrulamasını algılayan (yokluğunu), kimlik doğrulama giriş noktasına yeniden yönlendiren veya isteği yetkilendirme hizmetine ileten ve sonunda isteğin sunucu uygulamasına ulaşmasına veya güvenlik istisnası atmasına izin veren filtreler zinciri üzerine inşa edildiğinin farkındayım. (kimliği doğrulanmamış veya yetkisiz). DelegatingFitlerProxy, bu filtreleri birbirine yapıştırır. Görevlerini gerçekleştirmek için bu, …

136 spring  authentication  spring-security  filter  jwt 

Bir mobil uygulama oluşturuyorum ve kimlik doğrulama için JWT kullanıyorum. Bunu yapmanın en iyi yolu, erişim belirtecini istediğim sıklıkta sona erdirebilmem için JWT erişim belirtecini bir yenileme belirteciyle eşleştirmek gibi görünüyor. Yenileme belirteci neye benzer? Rastgele bir dizge mi? Bu dizi şifreli mi? Başka bir JWT mi? Yenileme belirteci, erişim …

129 security  authentication  oauth-2.0  jwt 

Kimlik doğrulama gibi durumlarda oturumlara göre JWT kullanmanın avantajı nedir? Bağımsız bir yaklaşım olarak mı yoksa oturumda mı kullanılıyor?

123 session  jwt